Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong Wing FTP Server, và theo thông tin từ Huntress, nó đang bị khai thác rất tích cực.
Lỗ hổng này, được theo dõi với mã CVE-2025-47812 (điểm CVSS: 10.0), xuất phát từ việc xử lý không đúng cách các byte null (‘\0’) trong giao diện web của máy chủ, cho phép thực thi mã từ xa. Lỗi này đã được khắc phục trong phiên bản 7.4.4.
Theo thông báo chính thức trên CVE.org, giao diện web của người dùng và quản trị viên xử lý không đúng các byte ‘\0’, dẫn đến việc chèn mã Lua tùy ý vào các tệp phiên người dùng. Điều này có thể bị lợi dụng để thực thi các lệnh hệ thống tùy ý với quyền của dịch vụ FTP (thường là root hoặc SYSTEM).
Điều đáng lo ngại hơn là lỗ hổng này có thể bị khai thác thông qua các tài khoản FTP ẩn danh. Một phân tích chi tiết về lỗ hổng đã được công bố vào cuối tháng 6 năm 2025 bởi nhà nghiên cứu bảo mật Julien Ahrens của RCE Security.
Công ty an ninh mạng Huntress cho biết họ đã phát hiện các tác nhân đe dọa khai thác lỗ hổng này để tải xuống và thực thi các tệp Lua độc hại, tiến hành trinh sát và cài đặt phần mềm quản lý và giám sát từ xa.
Các nhà nghiên cứu của Huntress cho biết: “CVE-2025-47812 bắt nguồn từ cách các byte null được xử lý trong tham số tên người dùng (liên quan đến tệp loginok.html, nơi xử lý quá trình xác thực). Điều này cho phép kẻ tấn công từ xa thực hiện chèn mã Lua sau khi sử dụng byte null trong tham số tên người dùng.”
Bằng cách lợi dụng việc chèn byte null, kẻ tấn công phá vỡ đầu vào dự kiến trong tệp Lua, nơi lưu trữ các đặc điểm phiên này.
Bằng chứng về việc khai thác tích cực lần đầu tiên được quan sát thấy vào ngày 1 tháng 7 năm 2025, chỉ một ngày sau khi chi tiết về khai thác được tiết lộ. Sau khi giành được quyền truy cập, những kẻ tấn công đã chạy các lệnh liệt kê và trinh sát, tạo người dùng mới như một hình thức duy trì và thả các tệp Lua để thả trình cài đặt cho ScreenConnect.
Hiện tại, vẫn chưa rõ ai đứng sau hoạt động này.
Dữ liệu từ Censys cho thấy có 8.103 thiết bị có thể truy cập công khai đang chạy Wing FTP Server, trong đó 5.004 thiết bị có giao diện web được hiển thị. Phần lớn các trường hợp nằm ở Hoa Kỳ, Trung Quốc, Đức, Vương quốc Anh và Ấn Độ.
Trước tình hình khai thác đang diễn ra, người dùng nên nhanh chóng áp dụng các bản vá mới nhất và cập nhật Wing FTP Server lên phiên bản 7.4.4 trở lên.
