.avif)
3 Minuty
Poważne zagrożenie: Wing FTP Server aktywnie wykorzystywany przez cyberprzestępców
Specjaliści ds. cyberbezpieczeństwa ostrzegają przed poważną luką typu remote code execution (RCE), która dotyczy Wing FTP Server — popularnego rozwiązania dla firm służącego do bezpiecznego transferu i zarządzania plikami. Luka, oznaczona jako CVE-2025-47812, została ujawniona 30 czerwca i już po mniej niż 24 godzinach zaczęła być aktywnie wykorzystywana przez cyberprzestępców.
Skutki CVE-2025-47812
Ta krytyczna podatność pozwala nieautoryzowanym atakującym na wykonywanie dowolnego kodu z uprawnieniami SYSTEM lub root na niezałatanych serwerach. Zagrożenie polegające na możliwości zdalnego uruchomienia kodu oznacza, że atakujący mogą przejąć pełną kontrolę nad serwerem, uzyskać wyższy poziom uprawnień, prowadzić rozpoznanie infrastruktury wewnętrznej, a nawet tworzyć trwałe tylne furtki.
Wing FTP Server jest używany przez ponad 10 000 organizacji, w tym kluczowe podmioty z branży lotniczej, medialnej i obronnej, takie jak Airbus, Reuters czy Siły Powietrzne USA. Popularność tego oprogramowania w sektorach SMB i dużych przedsiębiorstwach sprawia także, że jest ono atrakcyjnym celem dla cyberprzestępców.
Szczegóły podatności i przebieg ataku
Luka, na którą załatano w wersji 7.4.4 Wing FTP Server (wydanej 14 maja 2025 roku), dotyczy wszystkich wcześniejszych wersji, aż do 7.4.3 włącznie. Niestety, w momencie publikacji szczegółów technicznych znacząca liczba systemów pozostała niezałatana, co naraziło je na ataki.
Badacze, w tym ekspert ds. bezpieczeństwa Julien Ahrens, wskazują na słabe walidowanie danych wprowadzanych przez użytkowników jako źródło podatności. Atakujący mogą wstrzykiwać znak null do pola nazwy użytkownika i w efekcie omijać mechanizmy autoryzacji. Pozwala to także na wstrzyknięcie złośliwych skryptów Lua do plików sesji, które później są uruchamiane przez serwer z najwyższymi uprawnieniami.
Odnotowano ataki wykorzystujące m.in. wbudowane narzędzia Windows, takie jak certutil i cmd.exe, do pobierania i uruchamiania złośliwego kodu. Nawet nieskuteczne próby pokazały, że cyberprzestępcy usiłują eskalować uprawnienia, zbierać informacje o systemie oraz tworzyć nowe konta celem utrzymania dostępu.
Co ciekawe, niektórzy z napastników wykazywali brak doświadczenia, korzystając np. z wyszukiwarek internetowych przy próbie wykonania poleceń lub angażując inne osoby. Niemniej prostota wykorzystania luki powoduje, że poziom zagrożenia pozostaje bardzo wysoki, niezależnie od umiejętności atakujących.
Kluczowe cechy i zastosowania Wing FTP Server
Wing FTP Server wyróżnia się szeroką funkcjonalnością: obsługą wielu protokołów (FTP, SFTP, HTTP/S, WebDAV), działaniem na różnych platformach oraz zaawansowanymi integracjami w ramach procesów biznesowych. Szerokie zastosowanie w kluczowych organizacjach potwierdza jego niezawodność i skalowalność w zakresie bezpiecznego transferu danych.
W porównaniu z alternatywnymi rozwiązaniami FTP, Wing FTP Server oferuje rozbudowane zarządzanie sesjami, możliwość skryptowania w Lua oraz zaawansowane metody uwierzytelniania użytkowników. Jednak ostatnie incydenty podkreślają wagę regularnych aktualizacji i monitorowania systemu.
Zalecenia dotyczące bezpieczeństwa
Z uwagi na krytyczny charakter podatności CVE-2025-47812, niezbędne jest natychmiastowe działanie. Eksperci stanowczo zalecają wszystkim użytkownikom Wing FTP Server jak najszybszą aktualizację do wersji 7.4.4. W przypadku braku możliwości szybkiego wdrożenia łaty, należy tymczasowo wyłączyć dostęp HTTP/S, zablokować opcje anonimowego logowania oraz ściśle monitorować katalogi plików sesji pod kątem podejrzanych plików.
Badacze odkryli również trzy inne podatności: możliwość kradzieży haseł przez JavaScript, wyciek ścieżek serwera przy użyciu zbyt długich ciasteczek oraz brak sandboxingu procesów na serwerze Wing FTP. Mimo że każda z tych luk jest istotna, CVE-2025-47812 stanowi największy priorytet, gdyż umożliwia pełne przejęcie kontroli nad systemem.
Podsumowanie dla zespołów IT i specjalistów ds. bezpieczeństwa
Aktywne wykorzystywanie tej krytycznej luki RCE pokazuje upór współczesnych cyberprzestępców oraz konieczność rygorystycznego podejścia do zarządzania poprawkami. Organizacje korzystające z Wing FTP Server powinny bezzwłocznie wdrożyć strategię regularnych aktualizacji i stałego monitorowania, aby skutecznie chronić swoje zasoby cyfrowe przed coraz bardziej zaawansowanymi cyberatakami w dzisiejszym dynamicznie zmieniającym się środowisku zagrożeń.
Źródło: techradar
Komentarze