Lỗ hổng nghiêm trọng trong Wing FTP Server đang bị tin tặc khai thác

Các hacker luôn tìm cách khai thác lỗ hổng trong bảo mật thông tin

Điều đáng báo động là cuộc tấn công bắt đầu chỉ một ngày sau khi lỗ hổng được công bố, cho thấy tốc độ phản ứng đáng sợ của tin tặc trong việc khai thác các điểm yếu mới.

Mối đe dọa toàn diện với hàng nghìn tổ chức

Các nhà nghiên cứu tại Huntress đã xác định lỗ hổng mang mã CVE-2025-47812 được tiết lộ vào ngày 30.6 và việc khai thác diễn ra chỉ một ngày sau đó. Đây không phải là một lỗ hổng thông thường - nó cho phép thực thi mã từ xa không cần xác thực (RCE), trao quyền cho kẻ tấn công chạy mã với quyền root hoặc SYSTEM trên các máy chủ dễ bị tổn thương.

Điều đặc biệt đáng lo ngại là Wing FTP Server được triển khai rộng khắp trong các môi trường doanh nghiệp và SMB, được sử dụng bởi hơn 10.000 tổ chức trên toàn cầu. Danh sách khách hàng đáng chú ý gồm những tên tuổi lớn như Airbus, Reuters và không quân Mỹ...

Lỗ hổng tồn tại trong các phiên bản 7.4.3 trở về trước và đã được vá trong phiên bản 7.4.4, phát hành vào ngày 14.5. Tuy nhiên, điều đáng lo ngại là mặc dù bản vá đã có sẵn trong hơn một tháng, nhiều người dùng vẫn chưa cập nhật khi chi tiết kỹ thuật được công bố. Khoảng trống này là thời gian vàng của những kẻ tấn công.

Nhà nghiên cứu bảo mật Julien Ahrens giải thích rằng vấn đề xuất phát từ việc làm sạch đầu vào không đúng cách và xử lý không an toàn các chuỗi kết thúc bằng null. Điểm yếu này cho phép một null byte được tiêm vào trường tên người dùng để bỏ qua xác thực và chèn mã Lua độc hại vào các tệp phiên. Những tệp này, khi được máy chủ giải tuần tự hóa, sẽ kích hoạt thực thi mã ở cấp độ hệ thống cao nhất.

Cuộc tấn công trong thực tế: Từ nghiệp dư đến nguy hiểm

Những gì các nhà nghiên cứu quan sát được từ các cuộc tấn công thực tế vừa đáng lo ngại vừa có phần trớ trêu. Một kẻ tấn công đã tạo ra các tệp phiên độc hại sử dụng certutil và cmd.exe để tìm nạp và thực thi các payload từ xa. Mặc dù cuộc tấn công cuối cùng đã bị ngăn chặn, một phần nhờ vào Microsoft Defender, các nhà nghiên cứu lưu ý rằng những kẻ xâm nhập đã cố gắng leo thang đặc quyền, thực hiện trinh sát hệ thống và tạo tài khoản người dùng mới để duy trì sự tồn tại.

Điều đáng chú ý là một kẻ tấn công khác được báo cáo phải tra cứu cách sử dụng curl giữa cuộc tấn công và thậm chí, có trường hợp liên quan đến bên thứ ba trong quá trình hoạt động. Điều này cho thấy sự kiên trì của các kẻ tấn công đang quét tìm các phiên bản Wing FTP exposed, gồm cả những phiên bản lỗi thời.

Điều đáng lo ngại nhất là ngay cả khi các kẻ tấn công thiếu sự tinh vi, lỗ hổng vẫn cực kỳ nguy hiểm. Việc có thể thực thi mã với quyền cao nhất trên hệ thống có nghĩa là một kẻ tấn công thậm chí không cần nhiều kỹ năng cũng có thể gây ra thiệt hại nghiêm trọng. Họ có thể cài đặt ransomware, đánh cắp dữ liệu nhạy cảm, tạo backdoor để truy cập lâu dài, hoặc sử dụng hệ thống bị xâm phạm như một bàn đạp để tấn công các mục tiêu khác trong hệ thống.

Hành động khẩn cấp cần thực hiện

Các nhà nghiên cứu khuyến cáo nâng cấp lên phiên bản 7.4.4 ngay lập tức. Tuy nhiên, trong trường hợp không thể cập nhật, các bước giảm thiểu thiết yếu bao gồm:

Trước hết, vô hiệu hóa truy cập HTTP/S để giảm bề mặt tấn công. Tiếp theo là loại bỏ các tùy chọn đăng nhập ẩn danh để tăng cường kiểm soát truy cập; Giám sát thư mục tệp phiên để phát hiện hoạt động bất thường; Cô lập các máy chủ Wing FTP khỏi internet công cộng nếu có thể. Và cuối cùng là thực hiện kiểm tra bảo mật toàn diện để phát hiện dấu hiệu xâm nhập

Tình hình trở nên phức tạp hơn khi ba lỗ hổng bổ sung cũng được báo cáo: một lỗ hổng cho phép lấy cắp mật khẩu thông qua JavaScript, một lỗ hổng khác tiết lộ đường dẫn hệ thống thông qua cookie quá dài và lỗ hổng thứ ba làm nổi bật việc máy chủ thiếu sandboxing. Mặc dù những lỗ hổng này đặt ra rủi ro nghiêm trọng, CVE-2025-47812 vẫn nhận được xếp hạng mức độ nghiêm trọng cao nhất do tiềm năng làm tổn hại hoàn toàn hệ thống.

Lời cảnh báo cho cộng đồng

Sự việc này một lần nữa nhấn mạnh tầm quan trọng của việc cập nhật bảo mật kịp thời. Trong thế giới kỹ thuật số hiện tại, một ngày chậm trễ có thể tạo ra cơ hội vàng cho kẻ xấu. Wing FTP Server chỉ là một ví dụ trong hàng ngàn phần mềm được sử dụng rộng rãi có thể chứa đựng những lỗ hổng tương tự.

Các tổ chức cần xây dựng quy trình quản lý vá lỗi nghiêm ngặt, thực hiện giám sát bảo mật liên tục và chuẩn bị kế hoạch ứng phó sự cố. Hơn hết, họ cần nhận ra rằng trong cuộc đua giữa những người bảo vệ và kẻ tấn công, việc chậm trễ không chỉ là bất tiện mà có thể là thảm họa.

Trong kỷ nguyên số, bảo mật không phải là chi phí mà là khoản đầu tư sinh tồn. Lỗ hổng Wing FTP Server là lời nhắc nhở khẩn cấp rằng trong thế giới mà mọi thứ được kết nối, một điểm yếu có thể trở thành cửa ngõ cho thảm họa toàn diện.

Bùi Tú