Wing FTP Sunucusu Güvenlik Açığı Aktif olarak sömürüldü

   Temmuz 14, 2025  Posted in CyberSecurityNews


Kanat FTP Sunucu Güvenlik Açığı

Güvenlik araştırmacıları, teknik detayların kamuya açıklanmasından sadece bir gün sonra, Wing FTP sunucusunda kritik bir güvenlik açığının aktif olarak kullanıldığını doğruladılar.

CVE-2025-47812 olarak izlenen kusur, 10.0 maksimum CVSS puanı aldı ve kök veya sistem ayrıcalıklarıyla kime doğrulanmamış uzaktan kod yürütülmesini sağlıyor.

Güvenlik açığı, ilk olarak 30 Haziran 2025’te güvenlik araştırmacısı Julien Ahrens tarafından, 7.4.4 sürümünün 14 Mayıs 2025’te piyasaya sürülmesiyle sonuçlanan Wing FTP’ye sorumlu bir açıklamanın ardından açıklandı.

Google Haberleri

Bununla birlikte, sömürü girişimleri teknik yazı halka açıldıktan hemen sonra başladı ve Huntress güvenlik araştırmacıları 1 Temmuz 2025’teki ilk saldırıları gözlemlediler.

CVE-2025-47812, Wing FTP Server’ın web arayüzünde, özellikle de null baytların uygunsuz şekilde ele alınmasından kaynaklanmaktadır. loginok.html Kimlik doğrulama isteklerini işleyen uç nokta.

Güvenlik açığı, null bayt enjeksiyon kusurunu lua kod enjeksiyonu ile birleştirerek saldırganların kimlik doğrulama kontrollerini atlamasına ve sunucu oturum dosyalarına keyfi komutları enjekte etmesine izin verir.

Saldırı, hatalı şekillendirilmiş bir HTTP sonrası isteği ile başlar. loginok.html özel hazırlanmış bir kullanıcı adı parametresi içerir. Bir null bayt ekleyerek (%00) ve ardından LUA kodu, saldırganlar sunucunun oturum oluşturma sürecini değiştirebilir.

Sunucu bu bozuk oturum dosyalarını işlediğinde, enjekte edilen LUA kodu yüksek ayrıcalıklarla yürütülür ve saldırganlara sistem üzerinde tam kontrol sağlar.

Huntress’teki güvenlik araştırmacıları, Linux sistemlerinde veya Windows’ta sistem üzerinde kök olarak keyfi kod yürütülmesi için güvenlik açığının nasıl kaldırılabileceğini gösteren bir kavram kanıtı yarattı.

Saldırı özellikle tehlikelidir, çünkü varsayılan olarak devre dışı bırakılan ancak bazı yapılandırmalarda etkinleştirilebilen anonim FTP hesapları ile yürütülebilir.

Yaygın internet maruziyeti

Censys’ten gelen verilere göre, yaklaşık 8.103 halka açık cihaz dünya çapında kanat FTP sunucusunu çalıştırıyor ve bu sistemlerin 5.004’ü web arayüzlerini internete maruz bırakıyor.

Shadowserver Foundation, tanımlanan tüm sistemlerde belirli güvenlik açığı kontrolleri yapılmamış olsa da, açıkta kalan kanat FTP sunucusu örneklerini çalıştıran yaklaşık 2.000 IPS belirledi.

Shadowserver Foundation Sonuçları
Shadowserver Foundation Sonuçları

Coğrafi dağılım, Amerika Birleşik Devletleri, Çin, Almanya, Birleşik Krallık ve Hindistan’daki potansiyel olarak savunmasız sistemlerin en yüksek konsantrasyonlarını göstermektedir.

Dosya aktarım işlemleri için Wing FTP sunucusunu kullanan kuruluşlar arasında Airbus, Reuters ve ABD Hava Kuvvetleri gibi büyük şirketler, kritik altyapı sektörlerinde önemli etki potansiyelini gösteriyor.

Gözlemlenen saldırı faaliyeti

Huntress araştırmacıları, 1 Temmuz 2025’ten itibaren aktif sömürü belgeledi ve tehdit aktörleri bir müşterinin kanat FTP sunucusu kurulumunu hedef aldı.

Saldırı, aynı sistemi kısa bir zaman dilimi içinde tehlikeye atmaya çalışan beş farklı IP adresi içeriyordu ve bu da koordineli tarama ve sömürü çabalarını önerdi.

Gözlemlenen saldırı dizisi şunları içerir:

  • Gibi komutları kullanarak ilk keşif ipconfigarp -aVe nslookup
  • Sistem numaralandırması whoaminet userve Powershell betiği
  • Kalıcılık için yeni kullanıcı hesaplarının oluşturulması
  • Kullanarak uzaktan kötü amaçlı yazılımları indirme ve yürütme girişimleri certutil Ve curl
  • Screenconnect dahil olmak üzere uzaktan erişim araçlarını yükleme çabaları

Özel saldırı başarısız olsa da, muhtemelen Microsoft Defender veya saldırgan deneyimsizliğinin müdahalesi nedeniyle, olay kırılganlığın vahşi doğada aktif sömürüsünü göstermektedir.

Wing FTP Sunucusu Sürüm 7.4.4, 14 Mayıs 2025’te piyasaya sürülür, CVE-2025-47812’yi ve diğer iki güvenlik açıklamasıyla (CVE-2025-47813 ve bir yol açıklama sorunu) adresler. Satıcının, aktif sömürünün ifşa edilmesinden sonra yükseltme rehberliği ile e -posta yoluyla müşterilerle temasa geçtiği bildiriliyor.

Hemen yükseltemeyen kuruluşlar için, güvenlik araştırmacıları aşağıdakileri içeren geçici koruyucu önlemler uygulamanızı öneririz:

  • Kanat FTP Web Portalına HTTP/HTTPS Erişimini devre dışı bırakma veya kısıtlama
  • Anonim giriş işlevselliğini devre dışı bırakma
  • Şüpheli için oturum dizinlerini izleme .lua dosyalar
  • Maruziyeti sınırlamak için ağ segmentasyonunun uygulanması

Güvenlik açığı, Wings, Linux ve macOS dahil Wing FTP sunucusu tarafından desteklenen tüm ana işletim sistemlerini etkiler. Güvenli dosya aktarım işlemleri için yazılımın kurumsal ortamlarda yaygın olarak konuşlandırılması göz önüne alındığında, güvenlik topluluğu hemen yama için acil önerilerde bulundu.

İşletme kanadı FTP sunucu kurulumları, sürüm 7.4.4 veya üstüne yükseltmeye öncelik vermeli, dosya aktarım altyapılarının kapsamlı güvenlik değerlendirmelerini yapmalı ve potansiyel uzlaşma göstergelerini tespit etmek için ek izleme uygulamalıdır.

Maksimum şiddet derecesi, aktif sömürü ve yaygın internet maruziyetinin birleşimi bu güvenlik açığını örgütsel güvenlik duruşu için önemli bir tehdit haline getirir.

Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi



Source link