Wing FTP Server Zafiyeti ve Siber Saldırıların Artışı
Wing FTP Server, güvenli dosya transferlerini yönetmek için tasarlanmış güçlü bir çözümdür. Ancak, CVE-2025-47812 koduyla bilinen kritik bir uzaktan kod yürütme zafiyeti, siber suçluların bu servisi istismar etmesine neden olmaktadır. Bu zafiyet, teknik detaylarının yayımlanmasının üzerinden yalnızca bir gün geçtikten sonra kullanılmaya başlanmıştır.
Remote Code Execution Zafiyeti (CVE-2025-47812)
CVE-2025-47812, sıfır baytı ve Lua kod enjeksiyonu kombinasyonu ile uzaktan bir saldırganın sistem üzerinde en yüksek ayrıcalıklar ile (root/SYSTEM) kod yürütmesine imkan tanır. Güvenlik araştırmacısı Julien Ahrens, bu zafiyetin C++ dilinde güvenli olmayan sıfır sonlu dizelerin işlenmesi ve Lua’da yetersiz girdi temizleme işlemlerinden kaynaklandığını açıklamıştır. Araştırmacı, kullanıcı adı alanına eklenen bir sıfır baytının kimlik doğrulama kontrollerini atlatabileceğini ve oturum dosyalarına Lua kodu enjekte edebileceğini göstermiştir.
Geçmişteki Diğer Zafiyetler
Julien Ahrens, CVE-2025-47812 dışında Wing FTP ile ilgili üç başka zafiyeti de ortaya koymuştur:
CVE-2025-27889 – Bu zafiyet, kullanıcıların bir login formu gönderdiğinde şifrelerinin kötü amaçlı bir URL aracılığıyla dışarıya sızdırılmasına yol açmaktadır.
CVE-2025-47811 – Wing FTP varsayılan olarak root/SYSTEM olarak çalışmakta ve bu durum sandoxing ya da ayrıcalık düşürme işlemleri olmaksızın RCE’leri daha tehlikeli hale getirmektedir.
CVE-2025-47813 – Aşırı uzun bir UID çerezi sağlamak, dosya sistemi yollarını açığa çıkarmaktadır.
Yukarıda bahsedilen zafiyetlerin tamamı, Wing FTP’nin 7.4.3 ve daha eski sürümlerini etkilemektedir. Bu sorunlar, 14 Mayıs 2025 tarihinde 7.4.4 sürümü yayımlandığında düzeltildi; ancak, CVE-2025-47811 zafiyeti önemsiz olarak değerlendirilmiştir.
Saldırıların Tekrarı ve Siber Tehditler
Huntress isimli siber güvenlik platformunun araştırmacıları, CVE-2025-47812 zafiyetine yönelik gerçekleştirilmiş bir kanıt-örneği (proof-of-concept) oluşturmuşlardır. 1 Temmuz tarihinde, teknik detayların yayımlanmasından sadece bir gün sonra, en az bir saldırgan bu zafiyeti kullandı.
Saldırgan, ‘loginok.html’ sayfasına yönlendiren, sıfır baytı eklenmiş kullanıcı adlarıyla junk (boş) login talepleri göndermiştir. Bu girişler, sunucuya kötü amaçlı .lua oturum dosyaları oluşturmuş ve bu dosyalara Lua kodu enjekte edilmiştir. Enjekte edilen kod, bir yükü hex-decoded (hex kod çözme) etmek ve bunu cmd.exe üzerinden çalıştırmak amacıyla tasarlanmıştır.
Huntress araştırmaları, aynı Wing FTP örneğinin kısa bir zaman dilimi içinde beş ayrı IP adresi tarafından hedef alındığını ve bu durumun birkaç tehdit aktörünün kitlesel tarama ve istismar girişimlerini gösterdiğini belirtmiştir. Saldırganlar, istihbarat toplama, ortamda süreklilik sağlama ve cURL aracı ile veri dışalımı yapma girişimlerinde bulunmuşlardır.
Öneriler ve Alınması Gereken Önlemler
Huntress, gözlemlenen saldırılara rağmen, saldırganların henüz başarılı olamamış olabileceğini belirtmiştir. Ancak, her ne kadar saldırılar başarısız olmuş olsa da, siber tehdit aktörlerinin ulaşılabilir Wing FTP örneklerini taramaya devam edeceği düşünülmektedir. Şirketlerin mümkün olan en kısa sürede 7.4.4 sürümüne geçiş yapması şiddetle tavsiye edilmektedir. Eğer yeni ve güvenli bir sürüme geçiş mümkün değilse, Huntress araştırmacıları, Wing FTP web portalına HTTP/HTTPS erişimini devre dışı bırakmayı, anonim oturumları kapatmayı ve oturum dizinini şüpheli eklemeler için izlemeyi önermektedir.
Sonuç
Siber güvenlik alanındaki zafiyetler, özellikle geniş çaplı dosya transfer çözümleri için ciddi tehditler oluşturmaktadır. Wing FTP Server’daki bu kritik zafiyet, şirketlerin veri güvenliğini sağlamak adına hızlı ve etkili önlemler alması gerektiğini ortaya koymaktadır. Yüksek riskli durumlar karşısında her zaman güncel yazılımlarla çalışmak, olası tehditleri minimize etmek için en etkili yoldur.
