Huntress’teki güvenlik araştırmacıları, CVE-2025-47812 olarak adlandırılan Wing FTP sunucusunda, kritik bir uzaktan kod yürütme kırılganlığının aktif olarak kullanıldığını doğruladılar ve ilk gözlemlenen saldırı, güvenlik açığının kamuya açıklanmasından sadece bir gün sonra meydana geldi.
Kusur, 7.4.4’ten önceki sürümleri etkiler ve kök veya sistem düzeyinde uzaktan kod yürütülmesine yol açabilir ve kuruluşların kurulumlarını derhal güncellemeleri için acil çağrılara yol açabilir.
Kritik güvenlik açığı detayları
CVE-2025-47812, kullanıcı adı parametresindeki null baytların uygunsuz işlenmesinden kaynaklanan, özellikle kimlik doğrulama işlemlerini yöneten loginok.html dosyasıyla ilişkili önemli bir güvenlik tehdidini temsil eder.
| Bağlanmak | Detaylar |
| CVE kimliği | CVE-2025-47812 |
| Güvenlik Açığı Türü | Uzak Kod Yürütme (RCE) |
| Etkilenen yazılım | Kanat FTP Sunucusu |
| Etkilenen sürümler | 7.4.4’ten önceki tüm sürümler |
| Sabit versiyon | 7.4.4 |
| CVSS Puanı | Henüz atanmadı |
| Etkilenen platformlar | Windows, Linux, MacOS |
Güvenlik açığı, uzaktan saldırganların, null bayt kullanım zayıflıklarından yararlanarak, potansiyel olarak tüm sistemlerden ödün vererek LUA enjeksiyon saldırıları gerçekleştirmelerini sağlar.
Güvenlik açığı ilk olarak 30 Haziran 2025’te güvenlik araştırmacısı Julien Ahrens tarafından Wing FTP Server’ın Windows, Linux ve MacOS platformlarında dosya aktarım protokol yazılımını etkiledi.
Açıklamadan sonraki 24 saat içinde, Huntress güvenlik araştırmacıları 1 Temmuz 2025’te bir müşteri ortamına karşı ilk sömürü girişimini belgeledi ve saldırı faaliyeti 16:15 UTC civarında yükseldi.
Saldırı zinciri ve teknik analiz
Sömürü süreci, sofistike çok aşamalı bir saldırı zincirini takip eder. Saldırganlar, bilinen kimlik bilgilerini veya mevcut olduğunda anonim hesapları kullanarak Loginok.html son noktasına karşı giriş denemelerini başlatır.
Kötü niyetli yük, kullanıcı adı alanına eklenen, normal dize işlemeyi bozan ve kötü niyetli LUA kodunun enjeksiyonunu sağlayan %00 null baytını içerir.
Enjekte edilen kod belirli sözdizimi öğeleri içerir: Oturum nesne dosyası bütünlüğünü korumak için iki kapanış kare parantez, kod enjeksiyonu için yeni hatlar ve orijinal kod kalıntılarını nötralize etmek için yorum sembolleri.
Kötü niyetli LUA kodu, uygulama sonraki sayfa istekleri sırasında oturum verilerini sissialize ettiğinde yürütülür.
Huntress araştırmacıları, sistem numaralandırma komutları, kalıcılık için kullanıcı oluşturma ve Screenconnect uzaktan erişim araçları ve kötü amaçlı yürütülebilir ürünler dahil olmak üzere çeşitli yöntemler aracılığıyla taşıma teslimi girişiminde bulunan kapsamlı keşif faaliyetleri yürüten saldırganları gözlemlediler.
Güvenlik açığı, kanat FTP sunucusu kurulumlarındaki birden fazla konumda önemli adli artefaktlar bırakır.
C: \ Program Dosyaları (X86) \ Wing FTP Server \ Log \ ‘da bulunan günlük dosyaları, sömürü denemelerini gösteren kesik girişler içerirken, oturum dizinindeki Oturum Nesnesi dosyaları enjekte edilen LUA kodunu önemli ölçüde artan dosya boyutlarına sahip.
Oturum dosyalarının analizi, Windows’un certanil yardımcı programını kullanarak kötü amaçlı ikili dosyaları indirme ve yürütme girişimleri de dahil olmak üzere, onaltılık kodlu yükler aracılığıyla komutları yürütmeye çalışan saldırganları ortaya çıkardı.
Microsoft Defender, tehditleri Truva: Win32/Ceprolad.
Kanat FTP sunucusu çalıştıran kuruluşlar, aktif olarak sömürülen bu güvenlik açığını azaltmak için derhal 7.4.4 sürümüne güncellemelidir.
Güvenlik ekipleri, kesik kullanıcı adı girişleri için günlük dosyalarını izlemeli ve oturum nesnesi dosyalarını anormal boyutlar veya içerik için incelemelidir.
Açıklamayı takiben hızlı sömürü zaman çizelgesi göz önüne alındığında, bu güvenlik açığı derhal dikkat gerektiren kritik bir güvenlik riskini temsil eder.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.