一个字符引发的血案:Wing FTP服务器漏洞(CVE-2025-47812)正被全球利用
原文链接: https://mp.weixin.qq.com/s?__biz=MzA4NTY4MjAyMQ==&mid=2447900981&idx=1&sn=7193267d6a1eda3a431e9274ea71b2ad
一个字符引发的血案:Wing FTP服务器漏洞(CVE-2025-47812)正被全球利用
原创 Hankzheng 技术修道场 2025-07-18 08:55
一个CVSS 10.0分的满分漏洞,无需密码,匿名访问即可触发,并能直接获取服务器的最高权限(SYSTEM/root)。这不是电影情节,而是正在全球数千台
Wing
FTP服务器上真实上演的危机。该漏洞(
CVE-2025-47812
)已被证实正遭受黑客的积极利用,安全警报已拉至最高级。
令人警醒的是,这次事件的核心——空字节注入——是一个存在了数十年的“经典”漏洞。它的重现,暴露了即便是成熟的商业软件,在开发安全生命周期(SDL)中也可能忽视最基础的输入验证和安全编码规范。
漏洞的“魔术”:\0空字节如何混淆代码与数据?
这次漏洞的根源,在于一个看似无害的特殊字符——空字节(null byte, \0)
。要理解它的威力,我们需要看懂一个简单的“填表”比喻:
魔法字符与恶意指令
服务器在处理用户登录时,需要在一个内部
会话记录文件中记一行信息,格式是:
user.name = '[这是用户输入的名字]'
正常用户
输入
guest
,服务器记录:
user.name = 'guest'
攻击者
输入精心构造的用户名:
guest\0 os.execute
这里的
\0
字符,代表着
字符串到此结束。当服务器读取这个用户名并准备写入时:它读到
guest
后紧接着的
\0
,便认为字符串已经结束,于是记录为
user.name = 'guest'
。而
\0
后面那段
os.execute
被“遗留”下来。当服务器稍后执行这个会话记录文件时,它会把这段遗留的代码当作可执行的Lua命令
来运行
通过这一个
\0
字符,攻击者巧妙地实现了“数据”到“代码”的跨越
,这就是空字节注入的精髓。
攻击者的战术:“就地取材”实现隐蔽持久化
安全公司Huntress在漏洞细节公开仅24小时后,就捕获了真实攻击。攻击者的手法清晰且专业:
1. 匿名访问与提权
利用
anonymous
等无需密码的账户发起空字节注入攻击,直接获得服务器的
SYSTEM
或
root
权限——这相当于拿到了服务器的“上帝钥匙”,可以为所欲为。
- 建立持久化后门
在服务器上创建新的管理员账户,为自己留下一个随时可以返回的“永久后门”。
- 部署隐蔽载荷
投放恶意的Lua脚本,其最终目的是下载并安装ScreenConnect
。值得注意的是,ScreenConnect本身是一款合法的远程管理软件。这是一种典型的“就地取材”(Living off the Land, LotL)
战术。因为该软件拥有合法数字签名,可以轻易骗过许多安全软件,从而实现更隐蔽、更持久的远程控制。
风险敞口与应对
根据Censys的数据,全球仍有超过5000台暴露着脆弱Web管理界面的
Wing
FTP服务器,主要分布在美国、中国、德国等地,它们都是此次攻击的潜在目标。
由于该漏洞利用方式简单,且正被全球黑客积极利用,我们强烈建议所有
Wing
FTP服务器的用户:立即断开不必要的公网访问,并第一时间将程序升级至7.4.4或更高版本。
这是一场与攻击者赛跑的生死时速。