Yönetişim ve Risk Yönetimi, Uzaktan İş Gücü, Güvenlik Açığı Değerlendirmesi ve Penetrasyon Testi (VA/PT)
Uzaktan kod yürütme kusuru 5.000’den fazla sunucuyu etkiler
Prajeet Nair (@prajeaetspeaks) •
14 Temmuz 2025
Tehdit aktörleri, kök ve sistem ayrıcalıklarıyla uzaktan keyfi kodu yürütmek için bir sunucu dosya aktarım çözümünde kritik bir durum güvenlik açığından yararlanıyor.
Ayrıca bakınız: Güvenli Erişim Yeniden Tanımlandı: VPN Vs. Ztna
İlk olarak 30 Haziran’da RCE Security’den araştırmacı Julien Ahrens tarafından açıklanan Kusur – CVE -2025-47812 olarak izlenen – Wing FTP sunucusunda, kanat FTP’nin web arayüzünde � – null baytların uygunsuz işlenmesinden kaynaklanıyor. CVE Danışmanlığına göre, güvenlik açığı 7.4.4’ten önceki sürümleri etkiler ve 10.0 maksimum CVSS puanı taşır, ciddiyetinin ve sömürü kolaylığının altını çizer.
CVE girişi, “Bu, FTP hizmetinin, kök veya sistemin varsayılan olarak ayrıcalıklarıyla keyfi sistem komutlarını yürütmek için kullanılabilir.”
Huntress, teknik açıklamadan sadece bir gün sonra 1 Temmuz’da kusurun aktif olarak sömürülmesini gözlemledi. Saldırganlar, kimlik doğrulama işlemini atlamak ve sunucu oturum dosyalarına kötü niyetli LUA kodu enjekte etmek için null bayt ile hazırlanmış bir kullanıcı adı kullandılar. Bu oturum dosyaları, bir kez, gibi meşru sayfa yükleri sırasında işlendiğinde /dir.htmlotomatik olarak yürütülür, bu da uzaktan kod yürütülmesine neden olur.
Enjekte edilen lua yükü, genellikle sistem komutlarını kullanarak bir indirici komut dosyası biçimini alır. certutil Harici sunuculardan kötü amaçlı yazılım almak için. Bir örnekte, yük, saldırgan kontrollü bir sunucudan bir işaret indirmeye çalıştı.
Microsoft Defender, indirilen dosyayı engelledi, Trojan:Win32/Ceprolad.A ve daha sonra saldırganın bağlantısını keserek kanat FTP sunucusu işlemini sonlandırdı.
Censys’e göre, 8.103 kanat FTP sunucusu küresel olarak internete maruz kalıyor ve bunların 5,004’ü erişilebilir web arayüzlerine sahip. Sunucuların çoğunluğu Amerika Birleşik Devletleri, Çin, Almanya, Birleşik Krallık ve Hindistan’da ağırlanmakta ve bu ülkeleri potansiyel sömürüden en çok etkilenmektedir.
Güvenlik Araştırmacısı Ahrens, kusurun kanat FTP’nin kimlik doğrulama işlevinden nasıl kaynaklandığını söyledi c_CheckUser Ayrışır Kullanıcı Adları. Kullanıcı adı dizesine bir null bayt ekleyerek, saldırganlar sunucuyu kısmi kullanıcı adlarını doğrulamak için kandırır. Tasarruf edilmemiş kullanıcı adı daha sonra oturum dosyalarına lua kodu olarak yazıldığından, bu dosyalar okunduğunda komut enjeksiyonuna yol açar.
Ahrens, LUA kodunu oturum dosyasına enjekte ettikten sonra, kodun işletim sistemine bağlı olarak sistem veya kök ayrıcalıklarıyla yürütüldüğünü söyledi. Wing FTP varsayılan olarak yüksek ayrıcalıklarla çalışır ve kusurun etkisini artırarak kum havuzu veya ayrıcalık düşürme korumalarından yoksundur.
Arctic Wolf, kamuoyunun kavram kanıtı kodu ve teknik arızaların kullanılabilirliği göz önüne alındığında, saldırganların olumsuz sistemleri hedeflemeye devam edeceği konusunda uyardı. Şirket, sömürünün kötü amaçlı yükler indirmeyi, keşif komutlarını çalıştırmayı içerdiğini doğruladı whoami– ipconfig ve hatta screenconnect gibi uzaktan yönetim araçlarını yüklemeye çalışıyor.
Wing FTP sunucu kullanıcılarının hemen 7.4.4 sürümüne yükseltme istenir. Arctic Wolf, anonim giriş devre dışı bırakılsa bile, zayıf şifreler de dahil olmak üzere geçerli kullanıcı kimlik bilgilerinin güvenlik açığını tetiklemek için kullanılabileceğini vurguladı.
Kuruluşlar, şüpheli girişler için oturum dosya dizinlerini ve kanat FTP günlüklerini incelemeli ve Wing veya Wingftp gibi sömürü denemeleri sırasında kalıcılık için oluşturulmuş olabilecek anormal kullanıcı hesaplarını araştırmalıdır.