CVSS 10.0: критическая дыра в Wing FTP открыла дорогу к Airbus и ВВС США
NewsMakerУязвимость позволяет выполнять команды от имени root.
Исследователи из Huntress зафиксировали активную эксплуатацию критической уязвимости в Wing FTP Server — всего через сутки после её публичного раскрытия. Уязвимость CVE-2025-47812 получила максимальную оценку опасности (CVSS 10.0), поскольку позволяет удалённое выполнение произвольного кода на уязвимом сервере. Проблема была обнаружена и сообщена специалистами из RCE Security, однако технические детали они опубликовали лишь 30 июня — более чем через месяц после выхода патча.
Wing FTP Server представляет собой популярное кроссплатформенное решение для передачи файлов, поддерживающее протоколы FTP, FTPS, SFTP и HTTP/S. Программой, по данным разработчиков, пользуются более 10 000 клиентов по всему миру, включая Airbus, Reuters и ВВС США. уязвимость затрагивает механизм обработки имени пользователя в веб-интерфейсе Wing FTP. При передаче имени, содержащего null-байт (%00), всё, что следует после него, интерпретируется как Lua-код. Этот код сохраняется в сессионном файле и затем исполняется при десериализации, что позволяет злоумышленнику получить полный контроль над сервером.
По данным Huntress, первые атаки начались уже 1 июля, менее чем через 24 часа после раскрытия уязвимости. Злоумышленники явно опирались на опубликованную техническую информацию. Сначала исследователи зафиксировали три подключения к серверу-жертве, а затем появился четвёртый атакующий, который начал активно сканировать файловую систему, создавать новых пользователей и пытаться закрепиться в системе. Однако его действия выдали низкий уровень подготовки: команды содержали ошибки, PowerShell крашился, а попытка загрузить троян завершилась неудачей — файл перехватил Microsoft Defender. Анализ логов показал, что в какой-то момент атакующий даже пытался искать в интернете, как пользоваться утилитой curl, а затем, вероятно, обратился за помощью — к серверу подключился пятый участник.
После нескольких неудачных попыток атакующий попробовал загрузить вредоносный файл, но сервер вскоре вылетел, и организация изолировала его, пресекнув дальнейшие действия. Несмотря на неэффективность атаки, Huntress предупреждает, что CVE-2025-47812 активно эксплуатируется и представляет реальную угрозу. Исследователи настоятельно рекомендуют всем пользователям Wing FTP обновиться до версии 7.4.4, содержащей исправление.
Этот инцидент также высветил уязвимость устаревших протоколов. FTP был создан в 1970-х годах, и безопасность тогда не являлась приоритетом. Хотя Wing FTP поддерживает более защищённые протоколы вроде SFTP и MFT, они доступны только в коммерческих версиях. Многие современные проекты, такие как Chrome, Firefox и Debian, давно отказались от поддержки FTP, отражая общее изменение отношения к этому протоколу в профессиональной среде.
Исследователи из Huntress зафиксировали активную эксплуатацию критической уязвимости в Wing FTP Server — всего через сутки после её публичного раскрытия. Уязвимость CVE-2025-47812 получила максимальную оценку опасности (CVSS 10.0), поскольку позволяет удалённое выполнение произвольного кода на уязвимом сервере. Проблема была обнаружена и сообщена специалистами из RCE Security, однако технические детали они опубликовали лишь 30 июня — более чем через месяц после выхода патча.
Wing FTP Server представляет собой популярное кроссплатформенное решение для передачи файлов, поддерживающее протоколы FTP, FTPS, SFTP и HTTP/S. Программой, по данным разработчиков, пользуются более 10 000 клиентов по всему миру, включая Airbus, Reuters и ВВС США. уязвимость затрагивает механизм обработки имени пользователя в веб-интерфейсе Wing FTP. При передаче имени, содержащего null-байт (%00), всё, что следует после него, интерпретируется как Lua-код. Этот код сохраняется в сессионном файле и затем исполняется при десериализации, что позволяет злоумышленнику получить полный контроль над сервером.
По данным Huntress, первые атаки начались уже 1 июля, менее чем через 24 часа после раскрытия уязвимости. Злоумышленники явно опирались на опубликованную техническую информацию. Сначала исследователи зафиксировали три подключения к серверу-жертве, а затем появился четвёртый атакующий, который начал активно сканировать файловую систему, создавать новых пользователей и пытаться закрепиться в системе. Однако его действия выдали низкий уровень подготовки: команды содержали ошибки, PowerShell крашился, а попытка загрузить троян завершилась неудачей — файл перехватил Microsoft Defender. Анализ логов показал, что в какой-то момент атакующий даже пытался искать в интернете, как пользоваться утилитой curl, а затем, вероятно, обратился за помощью — к серверу подключился пятый участник.
После нескольких неудачных попыток атакующий попробовал загрузить вредоносный файл, но сервер вскоре вылетел, и организация изолировала его, пресекнув дальнейшие действия. Несмотря на неэффективность атаки, Huntress предупреждает, что CVE-2025-47812 активно эксплуатируется и представляет реальную угрозу. Исследователи настоятельно рекомендуют всем пользователям Wing FTP обновиться до версии 7.4.4, содержащей исправление.
Этот инцидент также высветил уязвимость устаревших протоколов. FTP был создан в 1970-х годах, и безопасность тогда не являлась приоритетом. Хотя Wing FTP поддерживает более защищённые протоколы вроде SFTP и MFT, они доступны только в коммерческих версиях. Многие современные проекты, такие как Chrome, Firefox и Debian, давно отказались от поддержки FTP, отражая общее изменение отношения к этому протоколу в профессиональной среде.