Kanat FTP sunucusunda yeni açıklanan kritik bir güvenlik açığı, dünya çapında binlerce kuruluşu tehdit ederek saldırganların kimlik doğrulanmamış uzaktan kod yürütme (RCE) aracılığıyla tam sunucu devralmasına ulaşmasını sağlıyor.
CVE-2025-47812 olarak izlenen kusura, 10.0 maksimum CVSSV4 skoru, şiddetini ve sömürü kolaylığının altını çizdi.
Güvenlik Açığı Detayları
RCE Security’den güvenlik araştırmacısı Julien Ahrens tarafından keşfedilen güvenlik açığı, 7.4.3’e kadar olan Wing FTP sunucusu sürümlerini etkiliyor.
Kusur, kullanıcı adı parametresini işlerken null baytların /loginok.html uç noktasındaki yanlış işlenmesinden kaynaklanır. Bu gözetim, saldırganların kullanıcı oturum dosyalarına keyfi LUA kodu enjekte etmelerini sağlar.
CVE kimliği | Etkilenen sürümler | CVSSV4 Puan | Saldırı vektörü | Çözüm |
CVE-2025-47812 | ≤ 7.4.3 | 10.0 | Ağ | 7.4.4’e güncelleme |
“Başarılı istismarlar, kimlik doğrulanmamış bir saldırganın temel sunucuda keyfi komutlar yürütmesine izin verebilir. Kanat FTP varsayılan olarak Windows’ta Linux ve NT yetkilisi/sisteminde kök olarak çalıştığından, bu esasen temel sunucunun toplam uzlaşması anlamına gelir” diye uyarıyor.
Sunucu, anonim kullanıcılara-kamuya açık FTP hizmetleri için ortak bir senaryo olan-izin verecek şekilde yapılandırılmışsa, saldırı hiçbir kimlik doğrulaması gerektirmez, bu da istismarın tehdit aktörleri için önemsiz hale getirilmesi gerekir.
Kavram kanıtı
Basit bir HTTP sonrası isteği, güvenlik açığını tetikleyebilir.
Saldırganlar, null bayt ve LUA kodu içeren kötü amaçlı bir kullanıcı adı parametresi hazırlayarak sistem düzeyinde komutlar yürütebilir.
Örneğin, aşağıdaki yük kusuru gösterir:
POST /loginok.html HTTP/1.1
Host: localhost
...
username=anonymous%00]]%0dlocal+h+%3d+io.popen("id")%0dlocal+r+%3d+h%3aread("*a")%0dh%3aclose()%0dprint(r)%0d--&password=correct
Hemen iyileştirme önerilir
Satıcı, güvenlik açığını ele alan Wing FTP Server sürüm 7.4.4 yayınladı. Tüm kullanıcıların sömürüyü önlemek için hemen güncellemeleri istenir.
Etkilenen sürümleri çalıştıran kuruluşlar, uzlaşma belirtileri için sunucu günlüklerini de gözden geçirmeli ve mümkünse anonim erişimi kısıtlamalıdır.
Zaman çizelgesi
- 2025-05-10: Güvenlik açığı keşfedildi ve satıcıya bildirildi
- 2025-05-14: Yama yayınlandı (sürüm 7.4.4)
- 2025-06-30: Halka açık açıklama
Wing FTP sunucusu, FTP, FTPS, HTTP, HTTPS ve SFTP protokollerini destekleyen platformlar arası bir dosya aktarım çözümüdür.
Popülerliği ve hem Linux hem de Windows’taki varsayılan yüksek ayrıcalıklı işlemi bu güvenlik açığını özellikle tehlikeli hale getirir.
Açıklama, saldırganların yararlanabilmesi için güvenlik açıklarını tanımlamak ve düzeltmek için sürekli penetrasyon testi ve dış saldırı yüzey yönetiminin önemini vurgulamaktadır.
Güvenlik uzmanları, benzer riskleri azaltmak için düzenli güncellemeler, katı erişim kontrolleri ve şüpheli etkinlik izlemesini önermektedir.
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt