漏洞概况
美国网络安全和基础设施安全局(CISA)已将CVE-2025-47812列入其已知被利用漏洞(KEV)目录。该漏洞技术细节公开仅一天后,就出现确切的活跃利用报告。这个被评为CVSS 10分的严重远程代码执行(RCE)漏洞影响广泛部署的企业级安全文件传输解决方案Wing FTP服务器。
技术分析
该漏洞结合了空字节注入与不安全的Lua代码执行,允许未经身份验证的攻击者以root或SYSTEM权限执行任意代码。据发布技术分析的研究员Julien Ahrens指出,漏洞根源在于C++中对空终止字符串的不安全处理,以及Lua脚本中不充分的输入净化机制。
7月1日(漏洞公开24小时后),威胁情报平台Huntress检测到针对其客户的攻击尝试。攻击者通过向"loginok.html"发送包含空字节注入用户名的畸形登录请求,创建恶意会话.lua文件,直接将Lua代码注入服务器。
攻击手法
恶意Lua脚本使用十六进制编码的有效载荷,并利用certutil.exe从远程服务器获取和执行恶意软件。攻击者具体利用该漏洞实现:
- 绕过认证机制
- 投放并执行恶意软件载荷
- 通过创建新用户账户建立持久访问
- 获取SYSTEM/root权限,完全控制受影响主机
影响与应对
由于Wing FTP广泛应用于企业和中小型商业环境,成功入侵可能成为横向移动或数据泄露的跳板。厂商已发布修复该漏洞的7.4.4版本,强烈建议所有用户立即更新,特别是将Wing FTP服务器暴露在互联网上的机构。
CISA要求联邦民事行政部门(FCEB)机构必须在2025年8月4日前修复该漏洞,以避免潜在攻击。