Volgens Huntress is een recent bekendgemaakte maximaal ernstige beveiligingsfout die de Wing FTP-server beïnvloedt, volgens Huntress onder actieve exploitatie.
De kwetsbaarheid, gevolgd als CVE-2025-47812 (CVSS-score: 10.0), is een geval van onjuiste behandeling van NULL (‘ 0’) bytes in de webinterface van de server, waardoor externe code-uitvoering mogelijk is. Het is aangepakt in versie 7.4.4.
“De gebruiker en admin -web -interfaces verkeerd en ‘ 0’ bytes, waardoor injectie van willekeurige lua -code in de gebruikerssessie -bestanden kan worden injectie,” volgens een advies voor de fout op cve.org. “Dit kan worden gebruikt om willekeurige systeemopdrachten uit te voeren met de privileges van de FTP -service (root of systeem standaard).”
Wat het nog meer zorgwekkend maakt, is dat de fout kan worden benut via anonieme FTP -accounts. Een uitgebreide uitsplitsing van de kwetsbaarheid kwam tegen eind juni 2025 het publieke domein binnen, met dank aan RCE -beveiligingsonderzoeker Julien Ahrens.
Cybersecurity Company Huntress zei dat het observeerde dat dreigingsacteurs de fout exploiteren om kwaadaardige Lua -bestanden te downloaden en uit te voeren, verkenning uit te voeren en software op afstand te installeren en managementsoftware te installeren.
“CVE-2025-47812 komt voort uit hoe null bytes worden behandeld in de gebruikersnaamparameter (specifiek gerelateerd aan het Loginok.html-bestand, dat het authenticatieproces behandelt),” zeiden Huntress-onderzoekers. “Hierdoor kunnen externe aanvallers LUA -injectie uitvoeren na het gebruik van de nul -byte in de parameter gebruikersnaam.”
https://www.youtube.com/watch?v=UR79S5nnlzs
“Door te profiteren van de nul-byte-injectie, verstoort de tegenstander de verwachte invoer in het LUA-bestand dat deze sessiekenmerken opslaat.”
Bewijs van actieve uitbuiting werd voor het eerst waargenomen tegen een enkele klant op 1 juli 2025, slechts een dag nadat de details van de exploit werden bekendgemaakt. Bij het verkrijgen van toegang zouden de dreigingsacteurs naar verluidt opsomming en verkenningsopdrachten hebben uitgevoerd, nieuwe gebruikers hebben gemaakt als een vorm van doorzettingsvermogen en LUA -bestanden laten vallen om een installatieprogramma voor screenconnect te laten vallen.
Er is geen bewijs dat de externe desktopsoftware daadwerkelijk is geïnstalleerd, omdat de aanval werd gedetecteerd en gestopt voordat deze verder kon vorderen. Het is momenteel niet duidelijk wie achter de activiteit staat.
Uit gegevens van CENSYS blijkt dat er 8.103 openbaar toegankelijke apparaten zijn met Wing FTP-server, waarvan 5.004 hun webinterface blootstelt. De meeste gevallen bevinden zich in de VS, China, Duitsland, het VK en India.
In het licht van actieve exploitatie is het essentieel dat gebruikers snel bewegen om de nieuwste patches toe te passen en hun Wing FTP -serverversies van 7.4.4 of later bij te werken.
