เรื่องเล่าจากช่องโหว่เดียว: โจมตีเซิร์ฟเวอร์ระดับโลกได้ด้วย 1 บรรทัด
ช่องโหว่นี้มีชื่อว่า CVE-2025-47812 และเปิดเผยแบบ public บน GitHub เมื่อ 30 มิถุนายน 2025 — แต่เพียงหนึ่งวันหลังจากนั้น ก็มีการโจมตีจริงเกิดขึ้นทันที โดยนักวิจัยจาก Huntress พบว่า:
- ช่องโหว่นี้อยู่ใน Wing FTP เวอร์ชันก่อน 7.4.4 (แพตช์ออก 14 พ.ค. 2025)
- อาศัยการ ฉีด null byte เข้าในฟิลด์ชื่อผู้ใช้
- ทำให้ bypass authentication แล้วแนบโค้ด Lua ลงในไฟล์ session
- เมื่อเซิร์ฟเวอร์ deserialize ไฟล์ session เหล่านั้น จะรันโค้ดในระดับ root/SYSTEM
แม้การโจมตีบางครั้งถูกสกัดโดย Defender ของ Microsoft แต่พบพฤติกรรมหลายอย่าง เช่น:
- การพยายามใช้ certutil และ cmd.exe เพื่อดาวน์โหลด payload
- การสร้างผู้ใช้งานใหม่ในระบบ
- การสแกน directory เพื่อหาช่องทางเข้าถึงอื่น
มีเคสหนึ่งที่แฮกเกอร์ ต้องค้นหาวิธีใช้ curl แบบสด ๆ ระหว่างโจมตี แสดงให้เห็นว่าส่วนหนึ่งของผู้โจมตียังไม่ได้มีความเชี่ยวชาญเต็มที่ — แต่ช่องโหว่นั้นร้ายแรงมากจน “ต่อให้โจมตีไม่เก่งก็ยังสำเร็จได้”
ช่องโหว่ CVE-2025-47812 ทำให้เกิดการรันโค้ดจากระยะไกลแบบไม่ต้องล็อกอิน
ใช้การฉีด null byte ในฟิลด์ username แล้วแนบโค้ด Lua ลงในไฟล์ session
โค้ด Lua ที่ถูกแทรกจะถูกรันเมื่อเซิร์ฟเวอร์ deserialize session file
ทำงานในระดับ root บน Linux หรือ SYSTEM บน Windows
นักวิจัยพบว่าแฮกเกอร์ใช้คำสั่งผ่าน cmd.exe และ certutil เพื่อดึง payload
พฤติกรรมคล้ายการเจาะระบบเพื่อฝัง backdoor และสร้างผู้ใช้ใหม่
Wing FTP Server ถูกใช้ในองค์กรระดับโลก เช่น Airbus และ USAF
ช่องโหว่นี้อาจกระทบระบบ sensitive และเครือข่ายภายใน
แพตช์แก้ไขอยู่ในเวอร์ชัน 7.4.4 ซึ่งปล่อยตั้งแต่ 14 พฤษภาคม 2025
แต่หลายองค์กรยังใช้เวอร์ชันก่อนหน้านั้น แม้ช่องโหว่ถูกเปิดเผยแล้ว
นักวิจัยแนะนำให้ปิดการเข้าถึงผ่าน HTTP/S, ปิด anonymous login และตรวจ log session
เป็นมาตรการเบื้องต้นหากยังไม่สามารถอัปเดตเวอร์ชันได้ทันที
ยังมีช่องโหว่อื่นอีก 3 ตัวที่พบ เช่นการดูด password ผ่าน JavaScript และการอ่านระบบ path
แต่ CVE-2025-47812 ถูกจัดว่า “รุนแรงที่สุด” เพราะสามารถเจาะระบบได้ครบทุกระดับ
https://www.techradar.com/pro/security/hackers-are-exploiting-a-critical-rce-flaw-in-a-popular-ftp-server-heres-what-you-need-to-know
ช่องโหว่นี้มีชื่อว่า CVE-2025-47812 และเปิดเผยแบบ public บน GitHub เมื่อ 30 มิถุนายน 2025 — แต่เพียงหนึ่งวันหลังจากนั้น ก็มีการโจมตีจริงเกิดขึ้นทันที โดยนักวิจัยจาก Huntress พบว่า:
- ช่องโหว่นี้อยู่ใน Wing FTP เวอร์ชันก่อน 7.4.4 (แพตช์ออก 14 พ.ค. 2025)
- อาศัยการ ฉีด null byte เข้าในฟิลด์ชื่อผู้ใช้
- ทำให้ bypass authentication แล้วแนบโค้ด Lua ลงในไฟล์ session
- เมื่อเซิร์ฟเวอร์ deserialize ไฟล์ session เหล่านั้น จะรันโค้ดในระดับ root/SYSTEM
แม้การโจมตีบางครั้งถูกสกัดโดย Defender ของ Microsoft แต่พบพฤติกรรมหลายอย่าง เช่น:
- การพยายามใช้ certutil และ cmd.exe เพื่อดาวน์โหลด payload
- การสร้างผู้ใช้งานใหม่ในระบบ
- การสแกน directory เพื่อหาช่องทางเข้าถึงอื่น
มีเคสหนึ่งที่แฮกเกอร์ ต้องค้นหาวิธีใช้ curl แบบสด ๆ ระหว่างโจมตี แสดงให้เห็นว่าส่วนหนึ่งของผู้โจมตียังไม่ได้มีความเชี่ยวชาญเต็มที่ — แต่ช่องโหว่นั้นร้ายแรงมากจน “ต่อให้โจมตีไม่เก่งก็ยังสำเร็จได้”
ช่องโหว่ CVE-2025-47812 ทำให้เกิดการรันโค้ดจากระยะไกลแบบไม่ต้องล็อกอิน
ใช้การฉีด null byte ในฟิลด์ username แล้วแนบโค้ด Lua ลงในไฟล์ session
โค้ด Lua ที่ถูกแทรกจะถูกรันเมื่อเซิร์ฟเวอร์ deserialize session file
ทำงานในระดับ root บน Linux หรือ SYSTEM บน Windows
นักวิจัยพบว่าแฮกเกอร์ใช้คำสั่งผ่าน cmd.exe และ certutil เพื่อดึง payload
พฤติกรรมคล้ายการเจาะระบบเพื่อฝัง backdoor และสร้างผู้ใช้ใหม่
Wing FTP Server ถูกใช้ในองค์กรระดับโลก เช่น Airbus และ USAF
ช่องโหว่นี้อาจกระทบระบบ sensitive และเครือข่ายภายใน
แพตช์แก้ไขอยู่ในเวอร์ชัน 7.4.4 ซึ่งปล่อยตั้งแต่ 14 พฤษภาคม 2025
แต่หลายองค์กรยังใช้เวอร์ชันก่อนหน้านั้น แม้ช่องโหว่ถูกเปิดเผยแล้ว
นักวิจัยแนะนำให้ปิดการเข้าถึงผ่าน HTTP/S, ปิด anonymous login และตรวจ log session
เป็นมาตรการเบื้องต้นหากยังไม่สามารถอัปเดตเวอร์ชันได้ทันที
ยังมีช่องโหว่อื่นอีก 3 ตัวที่พบ เช่นการดูด password ผ่าน JavaScript และการอ่านระบบ path
แต่ CVE-2025-47812 ถูกจัดว่า “รุนแรงที่สุด” เพราะสามารถเจาะระบบได้ครบทุกระดับ
https://www.techradar.com/pro/security/hackers-are-exploiting-a-critical-rce-flaw-in-a-popular-ftp-server-heres-what-you-need-to-know
🎙️ เรื่องเล่าจากช่องโหว่เดียว: โจมตีเซิร์ฟเวอร์ระดับโลกได้ด้วย 1 บรรทัด
ช่องโหว่นี้มีชื่อว่า CVE-2025-47812 และเปิดเผยแบบ public บน GitHub เมื่อ 30 มิถุนายน 2025 — แต่เพียงหนึ่งวันหลังจากนั้น ก็มีการโจมตีจริงเกิดขึ้นทันที โดยนักวิจัยจาก Huntress พบว่า:
- ช่องโหว่นี้อยู่ใน Wing FTP เวอร์ชันก่อน 7.4.4 (แพตช์ออก 14 พ.ค. 2025)
- อาศัยการ ฉีด null byte เข้าในฟิลด์ชื่อผู้ใช้
- ทำให้ bypass authentication แล้วแนบโค้ด Lua ลงในไฟล์ session
- เมื่อเซิร์ฟเวอร์ deserialize ไฟล์ session เหล่านั้น จะรันโค้ดในระดับ root/SYSTEM
แม้การโจมตีบางครั้งถูกสกัดโดย Defender ของ Microsoft แต่พบพฤติกรรมหลายอย่าง เช่น:
- การพยายามใช้ certutil และ cmd.exe เพื่อดาวน์โหลด payload
- การสร้างผู้ใช้งานใหม่ในระบบ
- การสแกน directory เพื่อหาช่องทางเข้าถึงอื่น
มีเคสหนึ่งที่แฮกเกอร์ ต้องค้นหาวิธีใช้ curl แบบสด ๆ ระหว่างโจมตี แสดงให้เห็นว่าส่วนหนึ่งของผู้โจมตียังไม่ได้มีความเชี่ยวชาญเต็มที่ — แต่ช่องโหว่นั้นร้ายแรงมากจน “ต่อให้โจมตีไม่เก่งก็ยังสำเร็จได้”
✅ ช่องโหว่ CVE-2025-47812 ทำให้เกิดการรันโค้ดจากระยะไกลแบบไม่ต้องล็อกอิน
➡️ ใช้การฉีด null byte ในฟิลด์ username แล้วแนบโค้ด Lua ลงในไฟล์ session
✅ โค้ด Lua ที่ถูกแทรกจะถูกรันเมื่อเซิร์ฟเวอร์ deserialize session file
➡️ ทำงานในระดับ root บน Linux หรือ SYSTEM บน Windows
✅ นักวิจัยพบว่าแฮกเกอร์ใช้คำสั่งผ่าน cmd.exe และ certutil เพื่อดึง payload
➡️ พฤติกรรมคล้ายการเจาะระบบเพื่อฝัง backdoor และสร้างผู้ใช้ใหม่
✅ Wing FTP Server ถูกใช้ในองค์กรระดับโลก เช่น Airbus และ USAF
➡️ ช่องโหว่นี้อาจกระทบระบบ sensitive และเครือข่ายภายใน
✅ แพตช์แก้ไขอยู่ในเวอร์ชัน 7.4.4 ซึ่งปล่อยตั้งแต่ 14 พฤษภาคม 2025
➡️ แต่หลายองค์กรยังใช้เวอร์ชันก่อนหน้านั้น แม้ช่องโหว่ถูกเปิดเผยแล้ว
✅ นักวิจัยแนะนำให้ปิดการเข้าถึงผ่าน HTTP/S, ปิด anonymous login และตรวจ log session
➡️ เป็นมาตรการเบื้องต้นหากยังไม่สามารถอัปเดตเวอร์ชันได้ทันที
✅ ยังมีช่องโหว่อื่นอีก 3 ตัวที่พบ เช่นการดูด password ผ่าน JavaScript และการอ่านระบบ path
➡️ แต่ CVE-2025-47812 ถูกจัดว่า “รุนแรงที่สุด” เพราะสามารถเจาะระบบได้ครบทุกระดับ
https://www.techradar.com/pro/security/hackers-are-exploiting-a-critical-rce-flaw-in-a-popular-ftp-server-heres-what-you-need-to-know
0 ความคิดเห็น
0 การแบ่งปัน
81 มุมมอง
0 รีวิว
English