سوءاستفاده هکرها از آسیب‌پذیری بحرانی اجرای کد از راه دور در Wing FTP Server!

هکرها تنها یک روز پس از انتشار جزئیات فنی، شروع به  سوءاستفاده از یک آسیب‌پذیری بحرانی اجرای کد از راه دور (RCE) در Wing FTP Server کرده‌اند. این نقص با شناسه CVE-2025-47812 ردیابی می‌شود و بالاترین امتیاز شدت (CVSS 10.0) را دریافت کرده است. این آسیب‌پذیری به مهاجمان غیرمجاز امکان اجرای کد با بالاترین سطح دسترسی (root در لینوکس یا SYSTEM در ویندوز) را می‌دهد.

جزئیات آسیب‌پذیری CVE-2025-47812

Wing FTP Server یک راه‌حل قدرتمند برای مدیریت انتقال امن فایل‌هاست که از اسکریپت‌های Lua پشتیبانی می‌کند و در محیط‌های سازمانی و کسب‌وکارهای کوچک و متوسط (SMB) به‌طور گسترده استفاده می‌شود.

محقق امنیتی جولین آرنز در تاریخ ۳۰ ژوئن ۲۰۲۵ گزارش فنی برای CVE-2025-47812 منتشر کرد و توضیح داد که این نقص از مدیریت ناامن رشته‌های پایان‌یافته با بایت null در کد C++ و عدم پاکسازی صحیح ورودی‌ها در Lua ناشی می‌شود. این مشکل به مهاجمان اجازه می‌دهد با تزریق بایت null در فیلد نام کاربری، بررسی‌های احراز هویت را دور زده و کد Lua مخرب را در فایل‌های نشست تزریق کنند. هنگامی که این فایل‌ها توسط سرور اجرا می‌شوند، اجرای کد دلخواه با امتیازات root یا SYSTEM ممکن می‌شود.

علاوه بر CVE-2025-47812، سه نقص دیگر در Wing FTP Server شناسایی شد:

• CVE-2025-27889: امکان استخراج رمزهای عبور کاربران از طریق یک URL دستکاری‌شده، در صورت ارسال فرم ورود توسط کاربر، به دلیل گنجاندن ناامن رمز عبور در یک متغیر جاوااسکریپت(location).
• CVE-2025-47811: اجرای Wing FTP Server به‌صورت پیش‌فرض با امتیازات root (لینوکس) یا SYSTEM (ویندوز) بدون استفاده از سندباکس یا کاهش امتیازات، که خطرات ناشی از اجرای کد از راه دور را تشدید می‌کند.
• CVE-2025-47813: ارائه یک کوکی UID بیش از حد طولانی که منجر به افشای مسیرهای فایل‌سیستم می‌شود.

این نقص‌ها نسخه‌های ۷.۴.۳ و قدیمی‌تر Wing FTP Server را تحت تأثیر قرار می‌دهند. فروشنده این مشکلات را با انتشار نسخه ۷.۴.۴ در ۱۴ می ۲۰۲۵ برطرف کرد، به‌جز CVE-2025-47811 که از نظر فروشنده اهمیت چندانی نداشت.

جزئیات حمله به Wing FTP Serve

محققان شرکت Huntress، پلتفرم مدیریت امنیت سایبری، یک کد اثبات مفهوم (PoC) برای CVE-2025-47812 ایجاد کردند و نشان دادند که چگونه هکرها می‌توانند از این نقص سوءاستفاده کنند. در تاریخ ۱ جولای ۲۰۲۵، تنها یک روز پس از انتشار جزئیات فنی، حداقل یک مهاجم این آسیب‌پذیری را در یکی از مشتریان Huntress هدف قرار داد.

مهاجم درخواست‌های ورود دستکاری‌شده با نام‌های کاربری تزریق‌شده با بایت null را به اندپوینت loginok.html ارسال کرد. این ورودی‌ها فایل‌های نشست .lua مخربی ایجاد کردند که کد Lua را به سرور تزریق می‌کردند. کد تزریق‌شده برای رمزگشایی hex یک پیلود و اجرای آن از طریق cmd.exe با استفاده از ابزار certutil برای دانلود بدافزار از یک مکان راه دور و اجرای آن، طراحی شده بود.

Huntress گزارش داد که یک نمونه Wing FTP توسط پنج آدرس IP مختلف در بازه زمانی کوتاهی هدف قرار گرفت، که احتمالا نشان‌دهنده اسکن گسترده و تلاش‌های اکسپلویت توسط چندین مهاجم است. دستورات مشاهده‌شده شامل شناسایی محیط (reconnaissance)، ایجاد حساب‌های کاربری جدید برای پایداری و استخراج داده‌ها با استفاده از ابزار cURL و نقاط پایانی webhook بود.

Huntress اعلام کرد که این حملات ناموفق بودند، احتمالا به دلیل ناآشنایی مهاجمان با فرآیند یا مداخله Microsoft Defender که بخشی از حمله را متوقف کرد. با این حال، این حادثه نشان‌دهنده سوءاستفاده فعال از این آسیب‌پذیری بحرانی است.

توصیه‌های امنیتی

با توجه به در دسترس بودن کدهای اکسپلویت عمومی و شدت بالای این نقص، به سازمان‌ها اکیدا توصیه می‌شود که فورا به نسخه ۷.۴.۴ Wing FTP Server ارتقا دهند. اگر ارتقا به نسخه امن‌تر ممکن نیست، پیشنهاد می‌شود دسترسی HTTP/HTTPS به پورتال وب Wing FTP غیرفعال یا محدود شود، لاگین‌های ناشناس غیرفعال شوند و دایرکتوری نشست برای شناسایی افزودنی‌های مشکوک نظارت شود.

در حال حاضر، شواهدی از اکسپلویت گسترده وجود ندارد، اما انتظار می‌رود که هکرها به اسکن نمونه‌های قابل‌دسترسی Wing FTP ادامه دهند و از سرورهای آسیب‌پذیر سوءاستفاده کنند.

منابع: