某跨平台FTP服务器发现危险远程代码执行漏洞

2025年7月1日，Huntress在Wing FTP Server中发现了一个严重的远程代码执行（RCE）漏洞的积极利用，仅在该漏洞公开披露后一天。该漏洞被追踪为CVE-2025-47812，结合了空字节注入和Lua代码执行的强大能力，使攻击者能够获得root或SYSTEM级别的访问权限。

该漏洞的核心在于Wing FTP在处理用户名参数时错误地处理了空字节，特别是在请求loginok.html时，该页面负责处理身份验证。Huntress解释道：

“攻击者可以在用户名参数中使用空字节后进行Lua注入，”这种处理不当会破坏字符串处理，允许注入恶意代码。

该利用链包括登录（即使是匿名登录），在用户名后追加%00空字节，注入Lua代码，然后通过访问另一个页面（如dir.html）触发反序列化。结果是通过会话操控执行任意代码。

Huntress的分析师于2025年7月1日首次发现该漏洞的利用。通过他们的遥测和EDR工具，观察到在WFTPServer.exe进程下的漏洞利用行为。证据可以在会话文件和日志条目中找到，例如日志中被截断的一行：“请注意缺失的闭合引号——这是空字节在日志文件中断开了该条目。”

但明确的证据来自被篡改的Lua会话文件。其中一个文件包含了以下有效负载：

一旦解码，十六进制编码的二进制数据揭示了攻击者的真实意图：该命令利用certutil下载并执行恶意软件，攻击受害者主机。

此次攻击时间线既是持续性攻击的典型案例，也是业余错误的表现。Huntress观察到，至少有五个不同的攻击者在一天内针对同一脆弱系统发起攻击。