كشفت شركة Huntress للأمن السيبراني عن استغلال نشط لثغرة أمنية شديدة الخطورة تم اكتشافها مؤخرًا في برنامج Wing FTP Server، تُعرف برمز CVE-2025-47812، وتحمل تقييم خطورة 10.0/10 على مقياس CVSS، ما يجعلها من أخطر الثغرات المصنّفة علنًا حتى الآن.
استغلال ثغرة من خلال واجهة الويب وتنفيذ تعليمات نظام
الثغرة ناجمة عن سوء معالجة البايت الصفري في واجهات الويب الخاصة بالمستخدم والمسؤول داخل الخادم، ما يُتيح للمهاجمين حقن تعليمات برمجية بلغة Lua داخل ملفات الجلسة للمستخدمين. ووفقًا للتحذير الأمني المنشور على موقع CVE.org: “يمكن استخدام هذه الثغرة لتنفيذ أوامر نظام عشوائية بصلاحيات خدمة FTP، والتي تكون افتراضيًا root أو SYSTEM.”
الهجوم عبر حسابات FTP مجهولة وتحميل برمجيات خبيثة
ما يزيد الأمر خطورة هو أن الهجوم يمكن تنفيذه عبر حسابات FTP مجهولة الهوية، دون الحاجة إلى بيانات اعتماد خاصة. وأوضح باحثو Huntress أن الاستغلال يستهدف معلمة اسم المستخدم المرتبطة بملف loginok.html المسؤول عن عملية تسجيل الدخول، حيث يتم إدخال البايت الصفري لتعطيل السلوك المتوقع لملف الجلسة البرمجية بلغة Lua، ما يفتح الباب أمام تنفيذ التعليمات الضارة.
تم رصد أول استغلال فعلي للثغرة في 1 يوليو 2025، أي بعد يوم واحد فقط من نشر تفاصيل الهجوم. وبعد الحصول على صلاحيات الدخول، قام المهاجمون بتنفيذ أوامر استطلاع، وإنشاء مستخدمين جدد لضمان الاستمرارية، كما زرعوا ملفات Lua لتنزيل أداة التحكم عن بعد ScreenConnect.
تحذيرات ودعوات للتحديث الفوري
على الرغم من أن البرمجية الخاصة بالتحكم عن بعد لم تُثبت فعليًا بسبب الكشف المبكر عن الهجوم، إلا أن التقارير لم تُحدد هوية الجهة المسؤولة عن الاستغلال.
ووفقًا لبيانات منصة Censys، يوجد 8,103 جهازًا مكشوفًا للعامة يعمل ببرنامج Wing FTP Server، من بينها 5,004 أجهزة تمتلك واجهات ويب معرّضة للخطر، ويتركز أغلبها في الولايات المتحدة، الصين، ألمانيا، المملكة المتحدة، والهند.
وفي ظل الاستغلال النشط، توصي الجهات الأمنية بتحديث البرنامج فورًا إلى الإصدار 7.4.4 أو الأحدث، لسد الثغرة ومنع أي هجمات مستقبلية محتملة.
