4008708893
2025年7月1日,Huntress在Wing FTP Server中发现了一个严重的数据泄露隐患:远程代码执行(RCE)漏洞的积极利用,仅在该漏洞公开披露后一天。该漏洞被追踪为CVE-2025-47812,结合了空字节注入和Lua代码执行的强大能力,使攻击者能够获得root或SYSTEM级别的访问权限。
该漏洞的核心在于Wing FTP在处理用户名参数时错误地处理了空字节,特别是在请求loginok.html时,该页面负责处理身份验证。Huntress解释道:
“攻击者可以在用户名参数中使用空字节后进行Lua注入,”这种处理不当会破坏字符串处理,允许注入恶意代码。
该利用链包括登录(即使是匿名登录),在用户名后追加%00空字节,注入Lua代码,然后通过访问另一个页面(如dir.html)触发反序列化。结果是通过会话操控执行任意代码。
Huntress的分析师于2025年7月1日首次发现该漏洞的利用。通过他们的遥测和EDR工具,观察到在WFTPServer.exe进程下的漏洞利用行为。证据可以在会话文件和日志条目中找到,例如日志中被截断的一行:“请注意缺失的闭合引号——这是空字节在日志文件中断开了该条目。”
但明确的证据来自被篡改的Lua会话文件。其中一个文件包含了以下有效负载:
一旦解码,十六进制编码的二进制数据揭示了攻击者的真实意图:该命令利用certutil下载并执行恶意软件,攻击受害者主机。
此次攻击时间线既是持续性攻击的典型案例,也是业余错误的表现。Huntress观察到,至少有五个不同的攻击者在一天内针对同一脆弱系统发起攻击。
(来源:安全客)
