هشدار آژانس امنیت سایبری آمریکا درباره باگ وینگ اف تی پی سرور

به گزارش کارگروه امنیت خبرگزاری سایبربان، این آژانس ضمن تأیید گزارش‌های صنعتی درباره سوءاستفاده از این باگ، آن را به فهرست آسیب‌پذیری‌های شناخته‌شده مورد سوءاستفاده (CVE) اضافه کرد و از تمامی نهادهای غیرنظامی فدرال خواست که تا ۴ اوت این باگ را وصله (patch) کنند.

در ابتدا و در مورد این آسیب‌پذیری‌، آژانس امنیت سایبری و امنیت زیرساخت اعلام کرد که شدت این آسیب‌پذیری ۱۰ از ۱۰ ارزیابی شده و می‌تواند به‌طور قطعی منجر به تسلط کامل بر سرور شود.

وینگ اف تی پی سرور (Wing FTP Server) نرم‌افزار انتقال فایل برای ویندوز، لینوکس و مک‌اواس است که توسط هزاران سازمان برای انتقال فایل استفاده می‌شود؛ از جمله نیروی هوایی ایالات متحده، ایرباس، سفورا، رویترز، سونی و دیگر شرکت‌ها.

در ماه گذشته، محقق امنیتی ژولین آرنس (Julien Ahrens) گزارشی جامع درباره این آسیب‌پذیری منتشر کرد که اکنون با کد CVE-2025-47812 ثبت شده است.

دو هفته بعد، تیم واکنش به حوادث در شرکت امنیت سایبری هانترس (Huntress) گزارش دادند که در تاریخ ۱ ژوئیه، سوءاستفاده فعال از این باگ را در سیستم یکی از مشتریان خود مشاهده کرده‌اند و از سازمان‌ها خواستند فوراً نرم‌افزار وینگ اف تی پی سرور را به نسخه ۷.۴.۴ به‌روزرسانی کنند.

جیمی لوای، مدیر بخش تاکتیک‌های مهاجمان در شرکت هانترس به خبرگزاری ریکوردد فیوچر نیوز (Recorded Future News) گفت که حمله مشاهده‌شده به‌نظر می‌رسید یک مورد تک‌حادثه‌ای بوده است.

وی در ادامه بیان کرد:

مهاجمان به‌نظر می‌رسید در حال آزمون و خطا برای بررسی قابلیت‌های این آسیب‌پذیری بودند، اما حمله به‌صورت سازمان‌یافته به‌نظر نمی‌رسید. بیشتر شبیه حالت تحقیقات آزمایشی بود.

محققان هانترس موفق شدند نمونه‌ای از کد سوءاستفاده (exploit) را بازسازی کنند و ویدئوی دموی آن را منتشر کردند.

آن‌ها همچنین راه‌هایی برای شناسایی حملات احتمالی از طریق این باگ ارائه و گزارش دادند که در جریان حادثه ۱ ژوئیه، چندین مهاجم مختلف به سیستم هدف حمله کردند.

آنها اظهار کردند:

به‌نظر می‌رسید مهاجم (چهارمین مهاجم در آن روز) برای اجرای برخی فرمان‌ها با مشکل مواجه شده؛ شاید به‌دلیل ناآشنایی با آن‌ها یا این‌که مایکروسافت دیفندر (Microsoft Defender) بخشی از حمله‌اش را متوقف کرده بود.

به‌رغم ناکامی مهاجمان، محققان تأکید کردند که CVE-2025-47812 اکنون به‌طور فعال در حال هدف قرار گرفتن است.

در همین حال، تیم واکنش به حوادث در شرکت آرکتیک وولف (Arctic Wolf) نیز اعلام کرد که در نمونه‌های مشاهده‌شده، مهاجمان تلاش کرده‌اند فایل‌های مخرب را دانلود و اجرا کنند، شناسایی اولیه (reconnaissance) انجام دهند و نرم‌افزارهای کنترل از راه دور نصب کنند.

شرکت وینگ اف تی پی سرور تاکنون به درخواست‌ها برای اظهارنظر پاسخ نداده است.

روز دوشنبه، بنیاد شادو سرور (Shadowserver) اعلام کرد که حدود ۲ هزار نسخه از وینگ اف تی پی سرور که به اینترنت متصل‌اند را شناسایی کرده است؛ از جمله صدها مورد در ایالات متحده و اروپا.

این بنیاد افزود که از ابتدای ماه ژوئیه شاهد تلاش برای سوءاستفاده از این آسیب‌پذیری بوده‌اند.

شرکت تحقیقاتی سنسیس (Censys) نیز گزارش داد که ۸,۱۰۳ دستگاه در حال اجرای وینگ اف تی پی سرور را شناسایی کرده که ۵,۰۰۴ مورد از آن‌ها دارای رابط وب آسیب‌پذیر هستند.

ابزارهای انتقال فایل همواره هدف محبوبی برای مهاجمان سایبری بوده‌اند، زیرا شرکت‌های بزرگ برای ارسال و حتی نگهداری داده‌های حساس از آن‌ها استفاده می‌کنند.

در سال‌های اخیر، ابزارهای پرکاربردی مانند کراش اف تی پی (CrushFTP)، کلئو (Cleo)، موو ایت (MOVEit)، گو انی ور (GoAnywhere) و اکسلیون (Accellion) هدف حملات گسترده سایبری قرار گرفته‌اند.