A Huntress kiberbiztonsági vállalat kutatói 2025. július 1-jén észlelték a CVE-2025-47812 azonosítójú, CVSS 10-es súlyosságú távoli kódfuttatási hiba kihasználására irányuló első próbálkozásokat a Wing FTP Server ellen, alig egy nappal a nyilvános bejelentése után.
A Wing FTP Server egy multiplatform fájlátviteli megoldás, amely támogatja az FTP, FTPS, SFTP és HTTP/S protokollokat. A weboldaluk szerint világszerte több mint 10 000 ügyfél használja biztonságos adatcserére, köztük olyan nagynevű vállalatok is, mint az Airbus, a Reuters és az Amerikai Egyesült Államok Légiereje.
A sebezhetőség kihasználása során a támadók null byte-tal (%00) kiegészített felhasználónévvel Lua kódot injektálhatnak, amelyet a szerver session fájlokba ír, majd root jogosultsággal futtat. A sérülékenység gyökere abban rejlett, ahogyan a Wing FTP webszerver kezelte a null byte karaktereket a felhasználónév mező feldolgozása során. A támadó képes volt null byte karaktert fűzni a felhasználónév végére, amit a rendszer nem megfelelően validált. Ennek következtében a null byte utáni karakterláncot Lua kódként értelmezte, és ezt a session objektumfájlba mentette. A deszerializáció során ez a kód végrehajtódott, lehetőséget adva tetszőleges kódfuttatásra a szerveren.
A Huntress szerint eddig csak egy sikeres kihasználási kísérletet észleltek, ennek ellenére arra sürgetik a felhasználókat, hogy azonnal frissítsenek, ha ezt eddig még nem tették meg.
A kutatók megjegyezték, hogy a támadók nem tudtak komolyabb károkat okozni annak ellenére, hogy a nyilvános közzététel után kevesebb mint 24 órán belül már többen is próbálkoztak. A támadás során a támadók sok amatőr hibát vétettek, például parancsokat rontottak el, a támadás közben néztek utána, hogyan kell pontosan használni a curl parancsot, illetve trójai telepítése közben a Microsoft Defender megakadályozta annak letöltését. Végül a szerver összeomlott, kizárva ezzel a támadókat, majd pedig a támadott szervezet izolálta a rendszert.
A Huntress a következőképpen összegezte a támadási kísérleteket: „Annak ellenére, hogy a támadók nem jártak sikerrel, az eset rávilágít arra, hogy a CVE-2025-47812 sebezhetőség aktív célpont.”
Az azóta javított hiba nem magában az FTP protokollban volt, hanem a webes felület biztonsági hiányosságában. A Huntress hangsúlyozza, hogy bár egyelőre kevés sikeres támadást láttak, minden szervezetnek javasolt frissíteni a 7.4.4-es verzióra.