آسیبپذیری بحرانی در Wing FTP Server به هکرها اجازه میدهد تا حملات RCE انجام دهند
هکرها از آسیبپذیری بحرانی Remote Code Execution (RCE) در Wing FTP Server بهرهبرداری کردهاند، تنها یک روز پس از اینکه جزئیات فنی این نقص به صورت عمومی منتشر شد.
حمله مشاهده شده شامل اجرای چندین دستور شمارش و شناسایی به دنبال آن بود، سپس مهاجمان برای ایجاد دسترسی پایدار با ایجاد کاربران جدید وارد سیستم شدند.
آسیبپذیری مورد بهرهبرداری در Wing FTP Server تحت عنوان CVE-2025-47812 شناخته شده و بالاترین امتیاز شدت را دریافت کرده است. این آسیبپذیری ترکیبی از null byte و Lua code injection است که به یک مهاجم از راه دور و بدون احراز هویت اجازه میدهد تا کد را با بالاترین امتیاز دسترسی (root/SYSTEM) اجرا کند.
Wing FTP Server یک راهحل قدرتمند برای مدیریت انتقال فایلهای امن است که قابلیت اجرای اسکریپتهای Lua را دارد و به طور گستردهای در محیطهای سازمانی و کسبوکارهای کوچک و متوسط (SMB) مورد استفاده قرار میگیرد.
Julien Ahrens، پژوهشگر امنیتی، در تاریخ ۳۰ ژوئن یک مقاله فنی برای CVE-2025-47812 منتشر کرد و توضیح داد که این نقص به دلیل مدیریت ناامن رشتههای null-terminated در C++ و عدم پاکسازی صحیح ورودیها در Lua به وجود آمده است.
این پژوهشگر نشان داد که چطور یک null byte در فیلد نام کاربری میتواند از بررسیهای احراز هویت عبور کرده و اجازه Lua code injection در فایلهای جلسه را بدهد.
هنگامی که این فایلها توسط سرور اجرا میشوند، امکان اجرای کد دلخواه به عنوان root/SYSTEM وجود دارد.
در کنار CVE-2025-47812، پژوهشگر نقصهای دیگری در Wing FTP را نیز شناسایی کرد:
- CVE-2025-27889 – به مهاجمین این امکان را میدهد که پسوردهای کاربران را از طریق یک URL دستکاری شده استخراج کنند، اگر کاربر فرم ورود را ارسال کند، به دلیل گنجاندن ناامن پسورد در یک متغیر جاوااسکریپت (location).
- CVE-2025-47811 – Wing FTP به طور پیشفرض به عنوان root/SYSTEM اجرا میشود، بدون استفاده از sandboxing یا کاهش امتیاز دسترسی، که حملات RCE را خطرناکتر میکند.
- CVE-2025-47813 – ارائه یک UID cookie بیش از حد طولانی میتواند مسیرهای سیستم فایل را فاش کند.
تمامی این آسیبپذیریها نسخههای Wing FTP 7.4.3 و قبلی را تحت تاثیر قرار میدهند. فروشنده با انتشار نسخه ۷٫۴٫۴ در تاریخ ۱۴ مه ۲۰۲۵ این مشکلات را رفع کرد، به جز CVE-2025-47811 که کماهمیت شناخته شد.
پژوهشگران تهدید در پلتفرم امنیت سایبری Huntress یک proof-of-concept برای CVE-2025-47812 ایجاد کردهاند و در این ویدیو نشان میدهند که چطور هکرها میتوانند از آن در حملات خود بهرهبرداری کنند.
پژوهشگران Huntress کشف کردند که در تاریخ ۱ جولای، یک روز پس از انتشار جزئیات فنی CVE-2025-47812، حداقل یک مهاجم از این آسیبپذیری در یکی از مشتریانشان سوءاستفاده کرده است.
مهاجم درخواستهای ورود نامعتبر با نامهای کاربری تزریقشده با null-byte ارسال کرد و هدف آنها loginok.html بود. این ورودیها فایلهای جلسه .lua مخرب ایجاد کردند که کد Lua را در سرور تزریق میکردند.
کد تزریقشده بهگونهای طراحی شده بود که یک payload را از حالت hex-encoding خارج کرده و از طریق cmd.exe اجرا کند، با استفاده از certutil برای دانلود بدافزار از یک مکان دور و اجرای آن.
پژوهشگران Huntress گزارش دادند که همان نسخه از Wing FTP توسط پنج آدرس IP مختلف در یک بازه زمانی کوتاه هدف قرار گرفت که این موضوع ممکن است نشاندهنده تلاشهای اسکن و بهرهبرداری جمعی توسط چندین مهاجم باشد.
دستورات مشاهدهشده در این تلاشها برای شناسایی، کسب دسترسی پایدار در محیط و استخراج دادهها با استفاده از ابزار cURL و webhook endpoint بودند.
مهاجم حمله را شکست داده است، “شاید به دلیل عدم آشنایی آنها با سیستمهای موجود یا به دلیل اینکه Microsoft Defender بخشی از حمله آنها را متوقف کرد” به گفته Huntress. با این حال، پژوهشگران به وضوح بهرهبرداری از آسیبپذیری بحرانی Wing FTP Server را مشاهده کردند.
حتی اگر Huntress حملات ناموفق را در مشتریان خود مشاهده کرده باشد، هکرها احتمالاً به جستجو برای نمونههای قابل دسترسی Wing FTP پرداخته و سعی خواهند کرد از سرورهای آسیبپذیر بهرهبرداری کنند.
به شرکتها به شدت توصیه میشود که هر چه سریعتر به نسخه ۷٫۴٫۴ این محصول ارتقا پیدا کنند.
اگر ارتقا به نسخه جدیدتر و امنتر امکانپذیر نیست، توصیه پژوهشگران این است که دسترسی HTTP/HTTPS به web portal Wing FTP را غیرفعال یا محدود کنند، ورود ناشناس را غیرفعال کرده و دایرکتوری جلسات را برای افزودنیهای مشکوک نظارت کنند.
