- Peretas meluncurkan serangan hanya satu hari setelah penulisan teknis lengkap cacat diumumkan kepada publik
- Banyak server tetap rentan selama berminggu -minggu meskipun ada perbaikan yang dirilis jauh sebelum pengungkapan
- Injeksi byte void di bidang nama pengguna memungkinkan penyerang memotong login dan menjalankan kode LUA
Peneliti keamanan telah mengkonfirmasi penyerang secara aktif mengeksploitasi kerentanan kritis di Wing FTP Server, solusi yang banyak digunakan untuk mengelola transfer documents.
Peneliti di Pemburu wanita Katakanlah cacat yang diidentifikasi sebagai CVE- 2025 – 47812 diungkapkan secara publik pada 30 Juni, dan eksploitasi dimulai segera, hanya sehari kemudian.
Kerentanan ini memungkinkan eksekusi kode jarak jauh yang tidak aautentikasi (RCE), memungkinkan penyerang untuk menjalankan kode sebagai origin atau sistem pada web server yang rentan.
Server ftp sayap tetap rentan dalam sistem yang tidak ditandingi
Server Wing FTP digunakan di seluruh lingkungan perusahaan dan SMB, dan digunakan oleh lebih dari 10 000 organisasi secara worldwide, termasuk klien terkenal seperti Plane, Reuters, dan Angkatan Udara AS.
Kerentanan ada dalam versi 7 4 3 dan sebelumnya dan telah ditambal dalam versi 7 4 4, yang dirilis pada 14 Mei 2025
Meskipun ada perbaikan yang tersedia selama lebih dari sebulan, banyak pengguna tetap tidak tertandingi ketika information teknis dipublikasikan.
Peneliti Keamanan Julien Ahrens, dijelaskan Masalah ini berasal dari sanitasi input yang tidak tepat dan penanganan yang tidak aman dari string yang diakhiri nol.
Kelemahan memungkinkan byte nol yang disuntikkan di bidang nama pengguna untuk memotong otentikasi dan memasukkan kode LUA berbahaya ke dalam data sesi.
Data -file ini, ketika deserialized oleh server, memicu eksekusi kode di tingkat sistem tertinggi.
Seorang penyerang membuat documents sesi berbahaya yang menggunakan certutil dan cmd.exe untuk mengambil dan menjalankan muatan jarak jauh.
Meskipun serangan itu pada akhirnya tidak berhasil, sebagian berkat Microsoft Defender, para peneliti mencatat bahwa para penyusup berusaha meningkatkan hak istimewa, melakukan pengintaian, dan menciptakan pengguna baru untuk mempertahankan kegigihan.
Penyerang existed dilaporkan harus mencari cara menggunakan curl mid-rack, dan satu bahkan melibatkan pihak kedua selama operasi.
Ini menunjukkan kegigihan penyerang yang kemungkinan besar memindai untuk instance FTP sayap yang terbuka, termasuk yang menjalankan versi yang sudah ketinggalan zaman.
Bahkan jika penyerang tidak memiliki kecanggihan, kerentanannya tetap sangat berbahaya.
Para peneliti merekomendasikan peningkatan ke versi 7 4 4 segera, tetapi di mana pembaruan tidak mungkin, menonaktifkan akses HTTP/S, menghapus opsi login anonim, dan memantau direktori documents sesi adalah langkah mitigasi yang penting.
Tiga kerentanan tambahan dilaporkan: satu pengaktifan kata sandi Exfiltration melalui JavaScript, jalur sistem pengungkapan lain melalui cookie yang terlalu lama, dan yang ketiga menyoroti kurangnya sandboxing server.
Sementara ini menimbulkan risiko serius, CVE- 2025 – 47812 telah menerima peringkat keparahan tertinggi karena potensinya untuk kompromi sistem lengkap.
Melalui Register Dan Komputer bleeping
