CVE-2025-47812: Wing FTP Server Remote Code Execution-Schwachstelle

1. eine Zusammenfassung der Schwachstellen

CVE-2025-47812 sein Flügel-FTP-Server Es besteht eine kritische Schwachstelle für Remote Code Execution (RCE). Die Schwachstelle rührt daher, dass der Server bei der Verarbeitung von Benutzereingaben in der Webadministrationsschnittstelle nicht ordnungsgemäß nach Null-Byte (NB) filtert. \0 vielleicht %00).

Ein Angreifer kann bösartigen Code in die Sitzungsdateien eines Servers einschleusen, indem er Null-Bytes und bösartigen Lua-Skriptcode in den Benutzernamen-Parameter einfügt und so die Authentifizierungslogik umgeht oder anonyme Anmeldemechanismen ausnutzt. Wenn der Server anschließend die Sitzungsdatei lädt, wird der eingeschleuste Lua-Code geparst und ausgeführt.

Da Wing FTP Server standardmäßig mit erhöhten Rechten (SYSTEM unter Windows, Root unter Linux/Unix) läuft, führt eine erfolgreiche Ausnutzung dieser Schwachstelle direkt zu FolgendemDie Server sind komplett ausgefallen.. Die Sicherheitslücke wurde auf Aktivitäten zur Ausnutzung in freier Wildbahn im Internet überwacht.

Bewertung der Auswirkungen von Schwachstellen:

2. die Analyse der Schwachstellen

2.1 Grundsätze der Anfälligkeit

Der Kern der Schwachstelle liegt in einer Inkonsistenz bei der Behandlung von Zeichenketten zwischen der Weboberfläche von Wing FTP Server (insbesondere der Komponente, die die Anmeldelogik handhabt) und dem zugrunde liegenden Sitzungsmanagementmechanismus.

1. EingabepunktDie Auslöser für die Schwachstelle befinden sich in der Schnittstelle, die Benutzeranmeldungen verarbeitet, hauptsächlich in der POST /loginok.html.

2. Null-Byte-TrunkierungDas Back-End-C++-Authentifizierungsmodul stößt bei der Validierung eines Benutzernamens auf ein Null-Byte (\0), d.h. er hört auf zu lesen. Das heißt, wenn ein Angreifer username=anonymous%00[恶意代码]Das Authentifizierungsmodul liest nur anonymeund ermöglicht so die Authentifizierung (vorausgesetzt, der anonyme Zugang ist aktiviert oder es wird ein gültiger Benutzername verwendet).

3. Lua-InjektionObwohl das Authentifizierungsmodul für Spoofing abgeschnitten wird, wird das Modul, das für das Schreiben der Benutzerinformationen in die Sitzungsdatei verantwortlich ist (die normalerweise im Lua-Skriptformat gespeichert wird), nicht durch Nullbytes abgeschnitten, sondern dieVollständiger String(einschließlich des bösartigen Codes nach dem Null-Byte) in die Sitzungsdatei auf der Festplatte geschrieben wurde.

4. Code-AusführungWing FTP verwendet Lua-Skripte zur Verwaltung des Sitzungsstatus. Wenn Benutzer andere Seiten besuchen (wie /dir.html) Wenn eine Sitzungsladung ausgelöst wird, analysiert der Server den Lua-Code in der Sitzungsdatei und führt ihn aus, wodurch der RCE ausgelöst wird.

2.2 Angriffsvektoren

• AngriffswegNetzwerk-Fernangriff (Netzwerk).

• BehördenvorschriftHohe Privilegien sind nicht erforderlich. Wenn der Server für die anonyme Anmeldung (Anonymous) aktiviert ist, kann der Angreifer ihn ganz ohne Authentifizierung ausnutzen; wenn nicht, braucht der Angreifer nur ein gewöhnliches Konto mit geringen Rechten, um die Macht zu übernehmen.

• InteraktivitätKeine Benutzerinteraktion erforderlich (Null-Klick).

3. die Auswirkungen von Schwachstellen

3.1 Technologische Implikationen

• Vollständige Systemkontrolle: Ein Angreifer kann beliebige Systembefehle ausführen.

• Anhebung der PrivilegienDer bösartige Code erbt die Berechtigungen des Wing FTP-Dienstes, normalerweise NT AUTHORITY\SYSTEM (Windows) oder Wurzel (Linux).

• Beharrlichkeit und SeitwärtsbewegungAngreifer können diese Schwachstelle zur Installation von Hintertüren, Ransomware oder als Sprungbrett für Angriffe auf andere Ressourcen im Intranet nutzen.

3.2 Operative Auswirkungen

• DatenschutzverletzungAlle sensiblen Dateien (Quellcode, Finanzdaten, persönliche Informationen usw.), die auf dem FTP-Server gespeichert sind, sind dem Risiko des Diebstahls ausgesetzt.

• BetriebsunterbrechungAngreifer können Dateien löschen oder Daten verschlüsseln (Ransomware) und so den Geschäftsbetrieb lahmlegen.

• Compliance-RisikoVerursacht, dass Unternehmen gegen Gesetze und Vorschriften wie GDPR, HIPAA oder Klassenschutz verstoßen.

4. die Analyse und Validierung von Exploits

Warnung: Der Inhalt dieses Abschnitts ist nur für die Sicherheitsforschung und die Überprüfung der Verteidigung bestimmt und darf nicht für illegale Angriffe verwendet werden.

4.1 Proof of Concept-Logik (PoC-Logik)

Der Angriffsprozess ist in zwei Hauptphasen der HTTP-Anfrage unterteilt:

Schritt 1: Einschleusen einer bösartigen Sitzung (Payload-Zustellung)

Der Angreifer sendet eine POST-Anfrage an /loginok.html.

• KopfzeileInhalt-Typ: application/x-www-form-urlencoded

• Nutzlast (schematisch):

  Klartext

  username=ValidUser%00';os.execute('calc.exe');--&password=AnyPassword
  

  zerlegen.::ValidUser Die Validierungsprüfung wurde bestanden.%00 Der Lua-Code wird dann in die Sitzungsdatei geschrieben.

Schritt 2: Auslösen der Code-Ausführung (Trigger)

Der Angreifer überträgt das in Schritt 1 zurückgegebene Cookie (Sitzungs-ID) auf jede Seite, die eine Authentifizierung erfordert, z. B. /dir.html.

• Server lädt Sitzungsdatei -> parst Lua-Code -> führt aus os.execute('calc.exe').

4.2 Validierungsmethoden

Log Audit:

Überprüfen Sie die Zugriffsprotokolle von Wing FTP oder die Systemprotokolle auf die folgenden Merkmale:

1. rechts loginok.html Die POST-Daten in der Anfrage enthalten %00 oder hexadezimal 0x00.

2. Sitzungsdateien mit ungewöhnlicher Lua-Syntax erscheinen im Sitzungsverzeichnis.

3. Server-Prozesse (wftpserver.exe) unbeabsichtigte Kindprozesse (wie z.B. cmd.exe, powershell.exe, sh, bash).

Analyse des Netzwerkverkehrs:

在 WAF 或 IDS/IPS 上监控 HTTP POST 请求体，匹配正则表达式规则：username=.*%00.*。

5) Lösungen für Schwachstellen

5.1 Offizielle Korrekturen (empfohlen)

Der Hersteller Wing Soft hat ein Sicherheitsupdate veröffentlicht, um diese Schwachstelle zu beheben.