ثغرة حرجة في Wing FTP Server (CVE-2025-47812) يتم استغلالها بنشاط
11 يوليو 2025 |مايسترو نيرو - الهجمات السيبرانية
كشفت شركة Huntress عن استغلال نشط لثغرة أمنية حرجة في خادم Wing FTP تسمح بتنفيذ أوامر عن بعد على الأنظمة المتضررة. تم تصنيف الثغرة بأعلى مستوى خطورة (10/10).
تفاصيل الثغرة الأمنية
الثغرة المسجلة كـ CVE-2025-47812 تنتج عن معالجة غير صحيحة للبايتات الفارغة (Null Bytes) في واجهة الويب للخادم:
- تسمح بحقن أكواد Lua خبيثة في ملفات الجلسات
- تمكن المهاجمين من تنفيذ أوامر نظامية بصلاحيات root/SYSTEM
- يمكن استغلالها عبر حسابات FTP مجهولة الهوية
- تم إصلاحها في الإصدار 7.4.4
"المستخدمون والواجهات الإدارية تتعامل بشكل خاطئ مع البايتات الفارغة '\0' مما يسمح بحقن أكواد Lua تعسفية في ملفات جلسات المستخدمين" - CVE.org
آلية الاستغلال
يكفي أن يقوم المهاجم بحقن بايتات فارغة في حقل اسم المستخدم (username parameter) لتنفيذ الهجوم:
- تخترق الثغرة ملف loginok.html المسؤول عن المصادقة
- تسمح بحقن أكواد Lua في ملفات الجلسات
- تؤدي إلى تنفيذ أوامر نظامية كاملة
تم نشر تفاصيل تقنية كاملة عن الثغرة نهاية يونيو 2025 من قبل الباحث Julien Ahrens.
النشاط العدائي المرصود
رصدت Huntress هجمات نشطة تستغل هذه الثغرة منذ 1 يوليو 2025 (بعد يوم واحد من الكشف العام):
- تنزيل وتنفيذ ملفات Lua خبيثة
- إجراء عمليات استطلاع وتعداد للأنظمة
- إنشاء مستخدمين جديدين للاستمرارية
- محاولة تثبيت برنامج ScreenConnect للتحكم عن بعد
الإحصائيات العالمية
8,103
خادم Wing FTP معرض للخطر
5,004
واجهة ويب مكشوفة للعامة
أكثر الدول تضرراً: الولايات المتحدة، الصين، ألمانيا، المملكة المتحدة، الهند
التوصيات الأمنية
- تحديث خادم Wing FTP فوراً إلى الإصدار 7.4.4 أو أحدث
- مراجعة سجلات النظام لاكتشاف أي أنشطة مشبوهة
- تعطيل الوصول المجهول (Anonymous FTP) إن لم يكن ضرورياً
- فحص الأنظمة لاكتشاف أي ملفات Lua غير معروفة
- تقييد الوصول إلى واجهة الإدارة عبر شبكات موثوقة فقط
تنويه حاسم: تم اكتشاف الهجمات الأولى بعد 24 ساعة فقط من نشر تفاصيل الثغرة. يوصى جميع المستخدمين بتطبيق التحديثات فوراً لمنع الاختراقات.