ISGroup Cybersicherheitsberatung

CVE-2025-47812 – Remote Code Execution (RCE) – Wing FTP Server

Wing FTP Server ist eine plattformübergreifende Dateiübertragungsanwendung, die FTP, FTPS, SFTP, HTTP/S unterstützt und eine integrierte Lua-Skript-Engine enthält. CVE-2019-5418 ermöglicht es Angreifern, Lua-Code remote mit Root-/SYSTEM-Rechten auszuführen – sofern aktiviert, sogar ohne Authentifizierung. Die Schwachstelle betrifft Wing FTP Server-Versionen vor 7.4.4.

ProduktWingFTP sftpd
Datum14.07.2025 14:56:57
Informationen
  • Fix verfügbar
  • Aktive Ausnutzung

Technische Zusammenfassung

Die Schwachstelle resultiert aus einer unsachgemäßen Handhabung von Null-Bytes (\0) in HTTP POST-Parametern während des Anmeldevorgangs. Insbesondere liegt der Fehler in der Art und Weise, wie Wing FTP Benutzersitzungsdateien wie loginok.html erstellt und schreibt.

Angreifer können eine POST-Anfrage mit folgendem Inhalt senden:

username=ValidUsername%00]]SomeLuaCode--

Oder auch:

username=anonymous%00]]SomeLuaCode--

Im Detail:

  • Die Sitzung für den gültigen Benutzer wird erfolgreich erstellt;
  • Das Null-Byte unterbricht die Verarbeitung der Zeichenfolge;
  • Das ]] schließt die vorherige Syntax ab;
  • Der Lua-Code wird gespeichert;
  • Das kommentiert das vorangegangene ]] aus.

Nach der erfolgreichen Erstellung der Sitzungsdatei senden Angreifer eine weitere HTTP GET-Anfrage an einen beliebigen anderen Endpunkt, was die Ausführung des Lua-Codes auslöst.

  • Authentifizierter/Nicht-authentifizierter Angriff: Die Schwachstelle erfordert eine Authentifizierung; wenn jedoch serverseitig aktiviert, können auch anonyme Konten für die Ausnutzung verwendet werden.
  • Aktiv ausgenutzt: Zahlreiche Sicherheitsforscher haben gemeldet, dass CVE-2025-47812 aktiv in der Praxis ausgenutzt wird.

Empfehlungen

  1. Patch sofort anwenden: Aktualisieren Sie alle Wing FTP-Instanzen auf Version 7.4.4.
  2. Anonymen Zugriff entfernen oder einschränken: Deaktivieren Sie anonyme FTP-Konten, sofern dies nicht zwingend erforderlich ist. Die Authentifizierung stellt derzeit einen Angriffsvektor dar.
  3. Überwachung: Analysieren Sie Sitzungsdateien auf Anomalien, wie z. B. übermäßig große .lua-Dateien oder Dateien, die verdächtige Zeichen enthalten. Überprüfen Sie die Protokolle und überwachen Sie POST-Anfragen in Bezug auf loginok.html.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *