Критическая уязвимость в Wing FTP Server: хакеры атакуют через день после публикации эксплойта

Хакеры начали активно эксплуатировать критическую уязвимость нулевого дня (CVE-2025-47812) в Wing FTP Server всего через сутки после того, как исследователь безопасности опубликовал технические детали этой RCE-уязвимости. Проблема позволяет удалённому неаутентифицированному злоумышленнику выполнять произвольный код от имени администратора системы (root/SYSTEM), используя комбинацию нулевого байта и инъекции Lua-кода.

По данным исследователей из Huntress, атакующие подделывали запросы на вход с вредоносным именем пользователя, содержащим null-byte, что позволяло внедрить Lua-скрипт в сессионные файлы. При последующем выполнении этих файлов сервер запускал вредоносную нагрузку, загружая её с удалённого источника через certutil и активируя через cmd.exe.

В ходе атаки злоумышленники выполняли команды разведки и создавали фальшивых пользователей для закрепления в системе. В одном из случаев атака сорвалась — возможно, из-за недостатка опыта у злоумышленника или вмешательства Microsoft Defender. Однако факт эксплуатации уязвимости подтверждён, а попытки атаки зафиксированы с пяти разных IP-адресов, что может свидетельствовать о массовом сканировании уязвимых серверов.

Пользователям Wing FTP версий до 7.4.4 настоятельно рекомендуется срочно обновиться. Если это невозможно, стоит ограничить доступ к веб-интерфейсу, отключить анонимные входы и регулярно проверять директорию сессий на предмет подозрительных Lua-файлов.