HackerNews 编译,转载请注明出处:
技术细节公开仅24小时,黑客已开始利用Wing FTP服务器中的高危远程代码执行漏洞。监测到的攻击行为包含多轮系统枚举与侦察指令,并通过创建新用户实现持久化控制。
该漏洞编号为CVE-2025-47812,获评最高危级。其本质是空字节注入与Lua代码注入的组合漏洞,允许未授权攻击者以系统最高权限(root/SYSTEM)执行任意代码。Wing FTP作为支持Lua脚本的安全文件传输管理方案,广泛应用于企业及中小型网络环境。
6月30日,安全研究员Julien Ahrens发布技术报告,指出漏洞源于C++对空终止字符串的不安全处理及Lua输入验证缺失。其演示表明:用户名字段插入空字节可绕过认证检查,并向会话文件注入Lua代码。当服务器加载这些文件时,即可以root/SYSTEM权限执行恶意指令。
该研究员同时披露Wing FTP另外三处漏洞:
- CVE-2025-27889:通过特制URL诱使用户提交登录表单后,因JavaScript变量(location)包含密码导致凭证泄露CVE-2025-47811:默认以root/SYSTEM权限运行且无沙盒隔离,显著放大远程代码执行危害CVE-2025-47813:超长UID Cookie可泄露文件系统路径
所有漏洞影响7.4.3及更早版本。供应商于2025年5月14日发布7.4.4修复版本(除CVE-2025-47811被评估为低风险未处理)。
网络安全平台Huntress的研究人员成功构造漏洞验证程序(详见视频演示),并监测到技术细节公开次日(7月1日)即有攻击者利用该漏洞入侵客户系统。攻击者向loginok.html发送含空字节的用户名,生成恶意.lua会话文件注入Lua代码。注入代码通过十六进制解码载荷,利用certutil工具下载远程恶意软件并以cmd.exe执行。
Huntress发现同一Wing FTP实例在短期内遭到五个不同IP地址攻击,表明存在大规模扫描与利用尝试。攻击指令涵盖系统侦察、持久化维持及cURL数据外泄。攻击失败可能源于“攻击者操作生疏或Microsoft Defender拦截”,但关键漏洞已被明确利用。
企业应立即升级至7.4.4版本。若无法升级,建议采取以下缓解措施:禁用或限制HTTP/HTTPS访问入口、关闭匿名登录功能、实时监控会话目录可疑文件。
消息来源: bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
