Wing FTP Server爆發嚴重資安危機，其關鍵的遠端程式碼執行(RCE)漏洞CVE-2025-47812在技術細節公開僅一天後，便遭到駭客利用。此漏洞結合了空字元與 Lua程式碼注入，讓未經身份驗證的攻擊者能以最高權限(root/SYSTEM)在伺服器上執行任意程式碼。

駭客攻擊手法包括偵察、建立新用戶以維持持久性，並試圖下載惡意軟體。儘管部分攻擊被防禦系統阻擋，但威脅依然嚴峻。強烈建議用戶立即更新至Wing FTP Server 7.4.4版，或採取其他緩解措施以降低風險。

Wing FTP Server是一款廣泛應用於企業和中小型企業環境的安全檔案傳輸解決方案，支援Lua腳本執行。2025年6月30日，資安研究員Julien Ahrens公開了 CVE-2025-47812的技術細節，揭露該漏洞源於C++中對空字元處理不當以及Lua輸入清理不足的問題。此漏洞被賦予最高嚴重性評分，顯示其潛在危害極大。
 

流程與手法

駭客的攻擊流程始於對目標伺服器進行偵察和枚舉指令，隨後透過建立新用戶來確保攻擊的持久性。具體手法是利用惡意構造的登入請求，特別是針對「loginok.html」頁面，並在使用者名稱欄位中注入空字元。這使得駭客能夠繞過身份驗證檢查，並將惡意的Lua程式碼注入到伺服器會話檔案中。當這些會話檔案隨後被伺服器執行時，駭客就能以最高權限在系統上執行任意程式碼。

技術細節

CVE-2025-47812是一個複合型漏洞，結合了「空字元(null byte)」和「Lua程式碼注入」兩大要素。研究指出，由於C++在處理空終止字串時存在安全缺陷，以及Lua 輸入資料未經妥善清理，導致攻擊者能在使用者名稱中插入空字元，進而繞過認證機制。一旦認證被繞過，惡意Lua程式碼便能被注入到會話檔案中。當伺服器執行這些被感染的會話檔案時，攻擊者就能成功實現遠端程式碼執行，且是以root或 SYSTEM等最高系統權限進行。

除了CVE-2025-47812，研究員還揭露了另外三個相關漏洞，皆影響Wing FTP Server 7.4.3及更早版本：

1. CVE-2025-27889：允許透過惡意構造的URL洩露用戶密碼。
2. CVE-2025-47811：Wing FTP預設以root/SYSTEM權限運行，缺乏沙盒或權限降低機制，使RCE漏洞更具危害性。
3. CVE-2025-47813：提供過長的UID Cookie會暴露檔案系統路徑。

影響

此類RCE漏洞的影響極為深遠。一旦伺服器被成功入侵，駭客將能夠完全控制受影響的系統，進而導致：

1. 數據外洩：敏感資料可能被竊取。
2. 系統癱瘓：伺服器功能可能被中斷或破壞。
3. 建立後門：駭客可在系統中建立持久性存取點。
4. 惡意軟體部署：攻擊者可下載並執行惡意軟體，例如勒索軟體或挖礦程式。

Huntress資安研究團隊觀察到，在CVE-2025-47812技術細節公開後，即有攻擊者嘗試利用該漏洞。儘管在某些案例中，攻擊因防禦機制（如Microsoft Defender）而失敗，但這明確顯示駭客已開始大規模掃描並嘗試入侵存在漏洞的Wing FTP Server 實例。
 

建議措施

為有效防範此類攻擊，強烈建議所有Wing FTP Server用戶採取以下措施：

1. 立即更新：務必將Wing FTP Server更新至版本7.4.4或更高版本。這是最直接且有效的修補方式。
2. 限制存取：如果無法立即更新，建議禁用或限制對Wing FTP網頁入口的 HTTP/HTTPS存取，將其暴露在網際網路的風險降至最低。
3. 禁用匿名登入：關閉匿名登入功能，增加未經授權存取的難度。
4. 監控會話目錄：密切監控會話(session)目錄中是否有可疑的新增或修改檔案，這可能是駭客注入惡意Lua程式碼的跡象。
5. 部署端點防護：確保端點防護軟體(如EDR/XDR)運行正常且保持最新，以偵測並阻止惡意行為。
6. 定期備份：建立完善的資料備份與復原機制，以應對潛在的資料丟失。

面對日益嚴峻的網路威脅，保持警惕並主動採取防禦措施，是保護企業資訊資產的關鍵。