Критическая уязвимость в Wing FTP Server: хакеры уже в деле
Исследователи кибербезопасности сообщили: злоумышленники уже активно используют критическую уязвимость в Wing FTP Server — популярном сервере для обмена файлами. Уязвимость с идентификатором CVE-2025-47812 впервые была обнародована 30 июня, и атаки начались буквально на следующий день. Эта неполадка позволяет злоумышленникам без авторизации выполнять на удалённых серверах любые команды — причём с максимальными правами администратора (root или SYSTEM).
Wing FTP Server широко используют и крупные предприятия, и малый бизнес по всему миру — более 10 тысяч организаций, среди них такие известные как Airbus, Reuters и ВВС США. Уязвимость есть в версиях 7.4.3 и ниже. Исправление уже выпустили — оно появилось ещё 14 мая 2025 года, в версии 7.4.4. Однако к моменту публикации технических деталей многие пользователи так и не успели обновиться.
По словам исследователя Жюльена Аренса, проблема возникла из-за неправильной фильтрации входящих данных и небезопасной обработки строк с нулевым байтом. Через эту уязвимость в поле "имя пользователя" можно вставить зловредный код на языке Lua прямо в служебные файлы сессий. Когда сервер "разбирает" такие файлы, запускается любой код — с максимальными правами.
Одна атака сопровождалась созданием вредоносных сессионных файлов, которые запускали штатные инструменты Windows (certutil и cmd.exe) для скачивания и запуска вредоносных обновлений. Атака, к счастью, не удалась — в том числе из-за работы Microsoft Defender. Тем не менее, хакеры пытались получить расширенные права, искать уязвимые места, даже создать новых пользователей для закрепления в системе.
Любопытно, что один из атакующих во время "работы" искал в интернете, как пользоваться командой curl, а другой и вовсе позвал напарника. Это показывает: даже плохо подготовленные мошенники не упускают возможности атаковать уязвимые серверы Wing FTP — особенно если там стоят старые версии.
Даже с не самыми опытными злоумышленниками дыра весьма опасна. Специалисты настоятельно советуют срочно обновиться до версии 7.4.4. Если обновление невозможно — как минимум отключить доступ по HTTP/S, убрать анонимные входы и внимательно мониторить папки с сессиями.
Кстати, обнаружилась ещё пара уязвимостей: одна позволяет вытянуть пароли через JavaScript, другая — раскрыть системные пути через слишком длинный cookie, третья показывает отсутствие изоляции процессов сервера. Но именно CVE-2025-47812 — самая опасная, потому что даёт полный контроль над системой.
Журналисты любят пугать: мол, киберпространство вот-вот рухнет. Трагедия: у Wing FTP Server нашли дыру, через которую уже лезут все, кому не лень. Нет, в этот раз не древний Word или унылый IoT-чайник — серьёзный сервер, который стоит в Airbus, Reuters и даже у американских военных. Хакеры, как назло, не ждут, пока админы соберутся с духом и обновят систему. Один пытается эскалировать права и залить себя в админы, второй перед атакой внезапно лезет читать мануалы по curl. Семейные ценности проникли даже сюда: помощь товарища прямо во время взлома. Возникает ощущение: эти атаки — не про мастерство, а про массовость. Заодно всплыло ещё три свежих радара: JavaScript-вор паролей, куки-вываливатель путей, ну и что сервер про изоляцию только слышал. Список мер по спасению понятен: патчить всё живое и вырубать HTTP/S, а кто не может — наблюдать за калейдоскопом сессий. Уникально ли что-то? Вряд ли — просто следующий сезон старого сериала под названием "дырявая IT-безопасность". Всё по плану.