كشفت تقارير أمنية حديثة عن استغلال ثغرة حرجة ذات خطورة قصوى في خادم Wing FTP Server، وهي الثغرة التي تمكن المهاجمين من تنفيذ تعليمات برمجية عن بعد. تأتي هذه التطورات لتؤكد أهمية التحديثات الأمنية المستمرة لمواجهة التهديدات السيبرانية المتزايدة.
تم تسجيل الثغرة تحت المعرف CVE-2025-47812، وحصلت على درجة 10.0 على مقياس CVSS، مما يشير إلى خطرها الأقصى. تتعلق الثغرة بكيفية معالجة البايتات الفارغة (null bytes ‘�’) ضمن الواجهة الرسومية للخادم، مما يفتح الباب أمام تنفيذ أوامر خبيثة على النظام. وقد تم إصلاح هذه المشكلة في الإصدار 7.4.4 من البرنامج.
استغلال ثغرة Wing FTP Server في هجمات نشطة
وفقاً لشركة Huntress للأمن السيبراني، فإن المهاجمين يستغلون هذه الثغرة بشكل نشط عبر الإنترنت. ويتم ذلك من خلال الواجهة الرسومية للخادم، سواء للمستخدم العادي أو المسؤول، حيث يتم التلاعب بالبايتات الفارغة لإدخال تعليمات برمجية بلغة Lua. هذا الإدخال الخبيث يسمح بتنفيذ أوامر النظام بشكل عشوائي بصلاحيات خدمة FTP.
ما يزيد من خطورة الوضع هو إمكانية استغلال هذه الثغرة حتى عبر حسابات FTP المجهولة، دون الحاجة إلى بيانات اعتماد تسجيل الدخول. وقد بدأت التفاصيل التقنية لهذه الثغرة بالانتشار في المجال العام خلال نهاية شهر يونيو 2025، بفضل باحث الأمن السيبراني جوليان أهيرنز.
طبيعة الهجمات واستراتيجيات المهاجمين
لاحظت شركة Huntress قيام الجهات الخبيثة باستغلال الثغرة بهدف تنزيل وتنفيذ ملفات Lua ضارة، وجمع معلومات استخباراتية عن الأهداف، وتثبيت برمجيات للمراقبة والإدارة عن بعد. وتعزى الثغرة إلى طريقة معالجة البايتات الفارغة في معلمة اسم المستخدم، وتحديداً ضمن ملف loginok.html المسؤول عن عملية المصادقة. يمكن للمهاجمين استغلال هذه الثغرة لإحداث حقن لتعليمات Lua بعد استخدام البايت الفارغ في اسم المستخدم.
يؤدي هذا الاستغلال إلى تعطيل المدخلات المتوقعة في ملف Lua الذي يخزن خصائص الجلسة، مما يفتح المجال أمام المهاجم لتنفيذ الأوامر. وقد تم رصد أدلة على الاستغلال النشط للثغرة لأول مرة في أوائل شهر يوليو 2025، وذلك بعد يوم واحد فقط من الكشف عن تفاصيل الثغرة.
بعد الحصول على إمكانية الوصول، بدأ المهاجمون بتنفيذ أوامر التعداد وجمع المعلومات، وإنشاء مستخدمين جدد كشكل من أشكال البقاء داخل النظام، بالإضافة إلى تحميل ملفات Lua لغرض تثبيت برنامج ScreenConnect. ومع ذلك، لم تظهر أدلة على نجاح تثبيت برنامج سطح المكتب البعيد، حيث تم اكتشاف الهجوم وإيقافه قبل أن يتطور أكثر.
التوعية والوقاية من التهديدات السيبرانية
تشير البيانات المتاحة إلى وجود الآلاف من الأجهزة التي تعمل بنظام Wing FTP Server وتتعرض للوصول العام، مع وجود جزء كبير منها بواجهة ويب مكشوفة. وتتركز الغالبية العظمى من هذه الخوادم في دول مثل الولايات المتحدة والصين وألمانيا والمملكة المتحدة والهند.
في ظل الاستغلال النشط لهذه الثغرة، تشدد الجهات الأمنية على ضرورة قيام جميع المستخدمين بتحديث أنظمة Wing FTP Server لديهم إلى الإصدار 7.4.4 أو أحدث بشكل عاجل. ويمثل هذا التحديث خط الدفاع الأول ضد الهجمات التي تستهدف استغلال هذه الثغرة الخطيرة. كما قامت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) بإضافة CVE-2025-47812 إلى كتالوج الثغرات المعروفة والمستغلة، مما يلزم الوكالات الفيدرالية بتطبيق الإصلاحات.