⚠️ Wing FTP Server’da aniqlangan juda xavfli zaiflik: xakerlar butun serverni egallab olishlari mumkin
Wing FTP Server dasturida aniqlangan yangi va nihoyatda xavfli zaiflik foydalanuvchilarsiz, ya’ni hech qanday autentifikatsiyasiz hujum orqali xakerlarga to‘liq server nazoratini qo‘lga kiritish imkonini bermoqda.
CVE-2025-47812 raqamli ushbu zaiflik xavfsizlik darajasi bo‘yicha eng yuqori baho — CVSSv4 10.0 ball bilan belgilangan.
Ushbu zaiflikni taniqli xavfsizlik tadqiqotchisi Julien Ahrens (RCE Security) aniqlagan bo‘lib, u Wing FTP Server dasturining 7.4.3 va undan avvalgi barcha versiyalarini o‘z ichiga oladi.
Muammo — serverning /loginok.html manzilida NULL bayt (ya’ni %00) noto‘g‘ri qayta ishlanishida. Bu holatda xaker foydalanuvchi nomiga zararli Lua kodi ni joylashtirishi va natijada tizim darajasidagi buyruqlarni bajarishi mumkin.
Ushbu zaiflik CWE-94 turiga mansub bo‘lib, bu «kod inyeksiyasi» deb nomlanadi. Ya’ni, foydalanuvchi kiritgan qiymatni noto‘g‘ri filtrlash natijasida tajovuzkor zararli buyruqni tizimga “yashirib” yuboradi.
Masalan, tajovuzkor foydalanuvchi nomi sifatida quyidagi shakldagi kiritmani yuboradi:
username=test%00io.popen("id"):read("*a")
Bu yerda id komandasi Linux tizimida foydalanuvchi haqida ma’lumot beradi. Ammo xaker istasa, istalgan boshqa xavfli tizim buyruqlarini ham bajartirishi mumkin.
🧨 Nima uchun bu tahdid juda xavfli?
- 🖥 Wing FTP Server ko‘pincha tizimning o‘zi darajasida (root/SYSTEM) ishlaydi, bu esa tajovuzkorga tizimni to‘liq nazorat qilish imkonini beradi.
- 🔓 Agar server anonim (guest) kirishga ruxsat bergan bo‘lsa, bu zaiflikni istalgan foydalanuvchi ishlata oladi.
- 🌐 Uzoqdan tarmoq orqali ishlatilishi mumkin — bu esa masofaviy to‘liq tizim egallash degani.
🎯 Qamrab olingan mahsulotlar
| Taqdimot | Tafsilot |
|---|---|
| 🎯 Ta’sir qiluvchi versiyalar | Wing FTP Server 7.4.3 va undan oldingi barcha versiyalar |
| 💣 Tahdid turi | Masofadan kod ishga tushirish (RCE) |
| 🔓 Kirish talablari | Autentifikatsiyasiz, /loginok.html sahifasiga kirish |
| 📊 CVSS 4.0 bahosi | 10.0 (Eng og‘ir daraja) |
🛡 Qanday himoyalanish mumkin?
Wing FTP Server jamoasi 2025-yil 14-may kuni 7.4.4-versiyasini chiqarib, zaiflikni bartaraf etuvchi yangilanishni taqdim etdi.
🔐 Barcha foydalanuvchilarga quyidagilar tavsiya etiladi:
- ✅ Zudlik bilan 7.4.4-versiyasiga yangilang.
- 🔍 FTP server sozlamalarini ko‘zdan kechiring, ayniqsa anonim kirish yoqilgan bo‘lsa, uni o‘chirib qo‘ying.
- 🧱 Tarmoqqa kirishni firewall va IDS/IPS tizimlari bilan nazorat ostiga oling.
- 📊 Tizim loglarini tahlil qilib, shubhali so‘rovlarni aniqlang.
Wing FTP Server’dagi CVE-2025-47812 zaifligi — eng xavfli toifadagi xatoliklardan biri bo‘lib, xakerlarga hech qanday autentifikatsiyasiz butun serverni qo‘lga kiritish imkonini beradi. Ayniqsa, server root yoki SYSTEM huquqlarida ishlayotgan bo‘lsa — tahdid darajasi ikki baravar oshadi.
🛠 Shuning uchun tizim administratorlari:
- Tizim versiyasini darhol tekshirishlari,
- 7.4.4 versiyasiga yangilashlari,
- tarmoq kirish xavfsizligini qayta ko‘rib chiqishlari zarur.
Xavfsizlik — faqat antivirus bilan emas, doimiy nazorat va tezkor javob bilan ta’minlanadi.
