ANECT a.s.Kritická zranitelnost ve Wing FTP Serveru umožňuje RCE útoky
Zpět na blog24. 7. 2025
Bezpečnostní výzkumníci varují před aktivním zneužíváním kritické zranitelnosti v oblíbeném řešení pro správu souborových přenosů – Wing FTP Server. Tato zranitelnost, evidovaná jako CVE-2025-47812, umožňuje neautentizované vzdálené spuštění kódu (RCE) s nejvyššími systémovými oprávněními. I přes dostupnou opravu zůstaly tisíce serverů týdny po zveřejnění detailů stále nezáplatované.
Co se stalo?
Zranitelnost byla odhalena 30. června 2025 a útoky byly zaznamenány již následující den. Chyba se týká verzí Wing FTP Serveru 7.4.3 a starších – oprava byla vydána přitom už14. května 2025 jako součást verze 7.4.4.
Útočníci využívají nedostatečné ošetření vstupů a slabé zpracování nulových znaků (null byte injection) ve vstupním poli pro uživatelské jméno. Díky tomu mohou obejít autentizaci a vložit škodlivý Lua kód do souborů relací, které server následně deserializuje a provede s nejvyššími oprávněními (root/SYSTEM).
Dopady
Podle výzkumu společnosti Huntress útočníci ve svých kampaních využívali nástroje jako certutil nebo cmd.exe pro stahování a spuštění vzdálených payloadů. Ačkoliv některé pokusy selhaly díky obraně (např. Microsoft Defender), byly zaznamenány snahy o eskalaci oprávnění, vytváření nových uživatelů a perzistenci útočníků v systému.
Závažnost situace podtrhuje i fakt, že Wing FTP Server využívají tisíce firem po celém světě – mezi nimi i velké korporace jako Airbus, Reuters či US Air Force.
Další identifikované chyby
Vedle hlavní RCE zranitelnosti byly odhaleny další tři vážné problémy:
– možnost krádeže hesel přes JavaScript;
– únik systémových cest skrze přetečení cookies;
– a nedostatečné sandboxování serverového prostředí.
Doporučení pro organizace
Pokud provozujete Wing FTP Server, proveďte okamžitou aktualizaci na verzi 7.4.4. Pokud z technických důvodů není aktualizace možná, implementujte tato nouzová opatření – deaktivujte HTTP/S přístup,zakažte anonymní přihlášení a monitorujte adresář se session soubory.
Dále se doporučuje provést audit logů a systémových změn za poslední týdny, zejména v případě, že byla provozována zranitelná verze.
Tato událost znovu ukazuje, jak zásadní je rychlá reakce na bezpečnostní záplaty a průběžný monitoring systémů. I méně sofistikovaní útočníci dnes mají nástroje, jak zneužít veřejně dostupné informace o zranitelnostech v reálném čase.
Zdroje: theregister.com, bleepingcomputer.com
Zdroj ilustračního obrázku: vygenerováno pomocí AI