Tehdit aktörleri, Wing FTP sunucusundaki yakın zamanda sabit bir uzaktan kod yürütme güvenlik açığı (CVE-2025-47812) aktif olarak yararlanıyor.
Kanat FTP Sunucusu ve CVE-2025-47812
Wing FTP Server, işletmeler, MSP’ler ve barındırma sağlayıcıları tarafından kullanılan ticari bir dosya aktarım sunucusu çözümüdür.
Yazılım 64 bit işletim sistemlerine yüklenebilir: Windows, Windows Server, Linux ve macOS. Yönetim, web tabanlı bir arayüz aracılığıyla yapılır. Kullanıcılar aynı şekilde dosyaları tarayıcı üzerinden güvenli bir şekilde yükler/indirir.
CVE-2025-47812, Wing FTP Server’ın kullanıcısı ve yönetici web arayüzleri Mishandle “\ 0” (yani, “null”) baytlarından kaynaklanır, bu da saldırganların kullanıcı oturum dosyalarına keyfi LUA kod enjekte etmesini sağlar.
“[The vulnerability] FTP hizmetinin ayrıcalıklarıyla (varsayılan olarak kök veya sistem) keyfi sistem komutlarını yürütmek için kullanılabilir. Bu nedenle, toplam sunucu uzlaşmasını garanti eden bir uzaktan kod yürütme güvenlik açığıdır. Bu aynı zamanda anonim FTP hesapları aracılığıyla da kullanılabilir ”diye açıklıyor Kusurun CVE kaydı.
CVE-2025-47812, RCE Güvenlik Araştırmacısı Julien Ahrens tarafından keşfedildi ve özel olarak rapor edildi ve 14 Mayıs 2025’te piyasaya sürülen Wing FTP Server V7.4.4’te sabitlendi.
30 Haziran’da araştırmacı, kusur hakkında ayrıntılı bir yazı yayınladı ve aynı zamanda keşfettiği iki diğer güvenlik açıklarını (CVE-2025-47811, CVE-2025-47813) özetledi. Ayrıca POC istismarları ile birlikte tavsiyeler yayınladı.
CVE-2025-47812 Sökülen
Huntress araştırmacılarına göre, saldırganların CVE-2025-47812’den yararlanmaları uzun sürmedi: İlk olarak 1 Temmuz 2025’te bir müşteri üzerinde sömürü gözlemlediler.
Saldırı analizleri, kurbanın makinesine farklı IP adreslerinden bağlanan, keşif yapan, kalıcılık için yeni kullanıcılar yaratan ve kötü amaçlı toplu dosyaları indirip çalıştırmaya çalışan birkaç farklı saldırganın ve Screenconnect uzaktan izleme ve yönetim yazılımı olduğunu ortaya koydu.
Saldırganlar görünüşe göre çok yetenekli değildi ve hedeflenen bilgisayarda kurulan Microsoft Defender tarafından sürekli hayal kırıklığına uğradı. Saldırı nispeten hızlı bir şekilde tespit edildi ve makine izole edildi.
“Tehdit aktörlerinin kullanılmayan faaliyetine rağmen, bu olay CVE-2025-47812’nin bu noktada aktif olarak hedeflendiğini gösteriyor. 8 Temmuz 2025 itibariyle yalnızca bir müşteri üzerinde sömürü faaliyeti görmüş olsak da, kuruluşlar 7.4.4’e güncelleyerek kendilerini en iyi şekilde koruyabilirler.
Diğer Kanat FTP Sunucu Güvenlik Açıkları
CVE-2025-47812’den yararlanmak için, bir tehdit oyuncusu önce tehlikeye atılan kimlik bilgileriyle kimlik doğrulaması yapmalı veya alternatif olarak-Wing FTP’nin web arayüzü izin veriyorsa-anonim bir hesapla.
Ancak Ahrens, kullanıcıdan sömürü için kullanıcı etkileşimi gerektiren, ancak kullanıcının temiz metin şifresini açığa çıkarabilen bir bilgi açıklama güvenlik açığı olan CVE-2025-27889’u da kullanabileceklerine dikkat çekti. (Ayrıca keşfedildi ve bildirildi, CVE-2025-27889, 26 Mart 2025’te piyasaya sürülen Wing FTP Server sürüm 7.4.3’te sabitlendi.)
En son Wing FTP sunucusu sürümü (7.4.4), saldırganların mümkün olan en yüksek ayrıcalıklarla kod yürütmesine izin verebilecek CVE-2025-47812 ve CVE-2025-47813 için düzeltmeler içerir, ancak CVE-2025-47811 değil. Ahrens’e göre, “satıcı düşünüyor [CVE-2025-47811] tam kök erişimimizin nedeni olmasına rağmen devam etmek iyidir. ”
İnternet altyapısı istihbarat platformu Censys’e göre, 9 Temmuz’da kanat FTP sunucusunu çalıştıran yaklaşık 8.100 cihaz vardı ve yaklaşık 5.000 kişi web arayüzleri internette maruz kaldı.
“Bu arayüze maruz kalan sunucular potansiyel olarak savunmasızdır, çünkü istismar POC istismarında gösterildiği gibi kötü amaçlı bir post isteği kullanılarak gerçekleştirilir” dedi.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!