Huntress’e göre, kanat FTP sunucusunu etkileyen yakın zamanda açıklanan bir maksimum şiddetli güvenlik kusuru, vahşi doğada aktif sömürü altına girdi.
CVE-2025-47812 (CVSS skoru: 10.0) olarak izlenen güvenlik açığı, sunucunun web arayüzünde, uzaktan kod yürütmesine izin veren null (‘\ 0’) baytların uygunsuz bir şekilde kullanılması durumunda. 7.4.4 sürümünde ele alınmıştır.
CVE.org’daki kusur danışmanlığına göre, “Kullanıcı ve Yönetici Web arayüzleri Mishandle ‘\ 0’ bayt. “Bu, FTP hizmetinin (varsayılan olarak kök veya sistem) ayrıcalıklarıyla keyfi sistem komutlarını yürütmek için kullanılabilir.”
Onu daha da endişelendiren şey, kusurun anonim FTP hesapları aracılığıyla kullanılabilmesidir. Güvenlik açığının kapsamlı bir dökümü, RCE güvenlik araştırmacısı Julien Ahrens’in izniyle Haziran 2025’in sonuna doğru kamu malı girdi.
Siber güvenlik şirketi Huntress, kötü niyetli LUA dosyalarını indirmek ve yürütmek, keşif yapmak ve uzaktan izleme ve yönetim yazılımı yüklemek için kusurdan yararlanan tehdit aktörlerinin gözlemlendiğini söyledi.
“CVE-2025-47812, kullanıcı adı parametresinde (özellikle kimlik doğrulama işlemini işleyen loginok.html dosyası ile ilgili) null baytların nasıl işlendiğinden kaynaklanmaktadır.” Dedi. “Bu, uzak saldırganların kullanıcı adı parametresinde null baytı kullandıktan sonra LUA enjeksiyonu yapmasına izin verebilir.”
https://www.youtube.com/watch?v=ur79s5nnlzs
Diyerek şöyle devam etti: “Null Byte enjeksiyonundan yararlanarak, düşman bu oturum özelliklerini depolayan LUA dosyasındaki beklenen girdiyi bozuyor.”
Aktif sömürü kanıtı ilk olarak 1 Temmuz 2025’te tek bir müşteriye karşı, yalnızca istismarın ayrıntılarının açıklanmasından bir gün sonra gözlenmiştir. Erişim kazandıktan sonra, tehdit aktörlerinin numaralandırma ve keşif komutları çalıştırdığı, yeni kullanıcıları bir kalıcılık olarak yarattığı ve screenconnect için bir yükleyiciyi bırakmak için LUA dosyalarını bıraktığı söyleniyor.
Saldırı, daha fazla ilerlemeden önce algılanan ve durdurulduğundan uzak masaüstü yazılımının gerçekten kurulduğuna dair bir kanıt yoktur. Şu anda aktivitenin arkasında kimin olduğu açık değil.
Censys’den alınan veriler, 5.004’ün web arayüzü açığa çıktığı kanat FTP sunucusunu çalıştıran 8.103 kamuya açık cihazın olduğunu göstermektedir. Örneklerin çoğu ABD, Çin, Almanya, İngiltere ve Hindistan’da bulunmaktadır.
Aktif sömürü ışığında, kullanıcıların en son yamaları uygulamak ve kanat FTP sunucusu sürümlerini 7.4.4 veya üstü güncellemek için hızlı bir şekilde hareket etmeleri önemlidir.