Wing FTP Server – это коммерческое серверное решение для передачи файлов, используемое компаниями, MSP и хостинг-провайдерами.
Программное обеспечение может быть установлено на 64-битные операционные системы: Windows, Windows Server, Linux и macOS. Администрирование осуществляется через веб-интерфейс. Пользователи могут безопасно загружать/выгружать файлы через браузер.
CVE-2025-47812 вызван неправильной обработкой \0 (нулевых) байтов в пользовательском и администраторском веб-интерфейсах Wing FTP Servers, что позволяет злоумышленникам внедрить произвольный Lua-код в файлы пользовательских сессий.
Уязвимость может быть использована для выполнения произвольных системных команд с привилегиями службы FTP (root или SYSTEM по умолчанию). Таким образом, эта уязвимость удаленного выполнения кода, гарантирующая полную компрометацию сервера. Уязвимость также может быть использована через анонимные учетные записи FTP, поясняется в CVE-записи.
Уязвимость CVE-2025-47812 была обнаружена исследователем RCE Security Джулиеном Аренсом (Julien Ahrens) и исправлена в версии Wing FTP Server v7.4.4, выпущенной 14 мая 2025 года.
30 июня исследователь опубликовал подробную статью об этом дефекте, а также рассказал о двух других уязвимостях (CVE-2025-47811, CVE-2025-47813), обнаруженных им в то же время. Он также опубликовал рекомендации, дополненные PoC-эксплойтами.
Эксплуатация CVE-2025-47812
По словам исследователей Huntress, злоумышленники не сразу попытались использовать CVE-2025-47812: впервые они заметили эксплуатацию на клиенте 1 июля 2025 года.
Анализ атаки показал, что в ней участвовали несколько злоумышленников, которые подключались к компьютеру жертвы с разных IP-адресов, проводили разведку, создавали новых пользователей, пытались загрузить и запустить вредоносные пакетные файлы и программу удаленного мониторинга и управления ScreenConnect.
Злоумышленники, судя по всему, были не слишком опытны и постоянно сталкивались с проблемой Microsoft Defender, установленного на целевом компьютере. Атака была замечена довольно быстро, и компьютер был изолирован.
Несмотря на безуспешную деятельность злоумышленников, этот инцидент свидетельствует о том, что CVE-2025-47812 активно атакуется в настоящее время. Несмотря на то, что по состоянию на 8 июля 2025 года мы наблюдали активность злоумышленников только на одном клиенте, организации могут лучше всего защитить себя, обновившись до версии 7.4.4, отметили исследователи Huntress и поделились индикаторами компрометации и подозрительными записями в журнале, которые могут использовать охотники за угрозами.
Другие уязвимости Wing FTP Server
Чтобы воспользоваться CVE-2025-47812, угрожающий субъект должен сначала авторизоваться с помощью скомпрометированных учетных данных или, если веб-интерфейс Wing FTPs позволяет это сделать, с помощью анонимной учетной записи.
Однако Аренс отметил, что они также могут использовать CVE-2025-27889, уязвимость раскрытия информации, которая требует взаимодействия с пользователем для эксплуатации, но может раскрыть пароль пользователя в открытом виде. (Также обнаруженная и сообщенная им уязвимость CVE-2025-27889 была исправлена в версии Wing FTP Server 7.4.3, выпущенной 26 марта 2025 года).
Последняя версия Wing FTP Server (7.4.4) содержит исправления для CVE-2025-47812 и CVE-2025-47813, но не CVE-2025-47811, которые могут позволить злоумышленникам выполнить код с максимально возможными привилегиями. По словам Аренса, производитель считает, что [CVE-2025-47811] можно оставить, несмотря на то, что именно из-за него мы получили полный root-доступ.
По данным платформы Censys, занимающейся анализом интернет-инфраструктуры, на 9 июля насчитывалось около 8 100 устройств, на которых работал Wing FTP Server, и примерно у 5 000 из них были открыты веб-интерфейсы в Интернете.
Серверы с таким интерфейсом потенциально уязвимы, поскольку эксплойт выполняется с помощью вредоносного POST-запроса, как показано в PoC-эксплойте, отметили они.