هشداری درباره سوءاستفاده از نقص حیاتی RCE در Wing FTP Server  

محققان امنیتی گزارش داده‌اند که مهاجمان به‌طور فعال از یک آسیب‌پذیری حیاتی در Wing FTP Server سوءاستفاده می‌کنند. این راه‌حل مدیریت انتقال فایل در بیش از ۱۰,۰۰۰ سازمان در جهان استفاده می‌شود و نقص گزارش‌شده می‌تواند به اجرا شدن کد دلخواه با بالاترین دسترسی سیستمی (Root/SYSTEM) منجر شود.

نفوذگران ظرف مدت کوتاهی پس از انتشار جزئیات فنی این آسیب‌پذیری، حملات خود را آغاز کردند. اطلاعات کلیدی به شرح زیر است:

• نرم‌افزار هدف Wing FTP Server
• شناسه آسیب‌پذیری  CVE-2025-4781
• نوع آسیب‌پذیری: اجرای کد از راه دور بدون احراز هویت (Unauthenticated RCE) —  امکان اجرای کد با دسترسی Root یا SYSTEM روی سرورهای آسیب‌پذیر
• زمان افشا و سوءاستفاده: جزئیات فنی به‌صورت عمومی در ۳۰ ژوئن منتشر شد و سوءاستفاده‌ها از روز بعد آغاز گردید.
• وضعیت وصله: مشکل در نسخه‌های ۷.۴.۳ و قدیمی‌تر وجود دارد؛ در نسخه ۷.۴.۴ (منتشرشده در ۱۴ می ۲۰۲۵) برطرف شده است.

نحوهٔ عملکرد آسیب‌پذیری (به‌زبان ساده)
محققین، ازجمله جولیان آرنز، دلیل این آسیب‌پذیری را اعتبارسنجی نامناسب ورودی و مدیریت ناصحیح رشته‌های Null-terminatedگزارش کرده‌اند. مهاجم می‌تواند با وارد کردن یک Null Byte در فیلد نام کاربری از مکانیزم احراز هویت عبور کند و کد مخرب نوشته‌شده به زبان Lua را در فایل‌های سشن (session files) تزریق نماید. هنگامی که سرور این فایل‌ها را غیرسریال‌سازی می‌کند، کد تزریق‌شده با بالاترین سطح دسترسی اجرا می‌شود. در یک نمونه، مشاهده شد که مهاجم فایل سشن مخربی ساخته بود که از ابزارهایی مانند certutil و cmd.exe برای دریافت و اجرای بارهای مخرب از راه دور استفاده می‌کرد.

پیامدها و رفتار مهاجمان
هر چند در یکی از موارد حمله تلاش مهاجم ناموفق گزارش شد، محققان شواهدی از تلاش برای ارتقای سطح دسترسی، شناسایی محیط (reconnaissance) و ایجاد حساب‌های کاربری جدید برای حفظ دسترسی مداوم یافته‌اند. این رفتار نشان‌دهندهٔ اسکن فعال سرورهای Wing FTP در معرض و نسخه‌های قدیمی است و ریسک نفوذ گسترده را افزایش می‌دهد.

نکات امنیتی و توصیه‌های فوری
۱. به‌روزرسانی فوری: در اسرع وقت نرم‌افزار Wing FTP Server را به نسخه ۷.۴.۴  و بالاتر ارتقا دهید — این اقدام کلیدی‌ترین و مؤثرترین راه برای رفع آسیب‌پذیری است.
۲. در صورت عدم امکان به‌روزرسانی فوری، کاهش ریسک موقتی

• دسترسی HTTP/S را غیرفعال کنید (در صورت امکان سرویس را محدود نمایید).
• ورود ناشناس (Anonymous Login) را حذف یا غیرفعال کنید.
• پوشه‌ها و فایل‌های سشن را تحت نظارت دقیق قرار دهید و هر تغییر مشکوکی را بررسی کنید.
  ۳. بررسی و واکنش:
• لاگ‌های سیستم و سرور را برای نشانه‌های غیرمعمول یا فایل‌های سشن جدید و تغییر یافته بررسی کنید.
• وجود ابزارهای دانلود از راه دور مثلاً استفاده از certutil یا فراخوانی cmd.exe برای دریافت payload را پیگیری کنید.
• در صورت شناسایی نشانه‌های نفوذ، فرایند ایزوله‌سازی، پاک‌سازی و بازنشانی دسترسی‌ها را سریعاً اجرا کنید و در صورت نیاز با تیم پاسخ به حادثه (IR) مشورت کنید.
  ۴. افزایش محافظت: محدودسازی دسترسی به سرویس تنها از طریق فایروال و لیست‌های کنترل دسترسی (ACL) برای آدرس‌های آی‌پی مورد اعتماد، و اجرای اصل حداقل امتیازات برای حساب‌های سرویس.

آسیب‌پذیری‌های مرتبط
علاوه بر CVE-2025-47812 که دارای بالاترین رتبهٔ خطر است، سه نقص دیگر نیز گزارش شده‌اند: یکی امکان استخراج رمز عبور از طریق جاوااسکریپت، دیگری افشای مسیرهای سیستمی، و سوم فقدان سندباکسینگ (Sandboxing) در برخی بخش‌ها. با این‌حال، CVE-2025-47812 به‌دلیل توانایی اجرا شدن کد با دسترسی سیستمی، در سطح بحرانی قرار دارد.

جمع‌بندی
اگر از Wing FTP Server استفاده می‌کنید، فوراً نسخهٔ نرم‌افزار را بررسی و در صورت نیاز به ۷.۴.۴ ارتقا دهید. در صورت‌عدم امکان به‌روزرسانی فوری، به‌سرعت تدابیر موقتی کاهش ریسک را اجرا کنید و سرورهای خود را برای شواهد نفوذ تحت نظارت دقیق قرار دهید. این آسیب‌پذیری به‌دلیل سادگی سوءاستفاده و پیامدهای بالقوهٔ آن، خطری جدی برای سامانه‌های در معرض دارد.