Михаил Спицын, киберэксперт лаборатории стратегического развития аналитического центра кибербезопасности компании «Газинформсервис», отметил, что проблема кроется в серьёзной архитектурной ошибке. Она позволяет обойти проверку идентификаторов сессий и активно используется хакерами для внедрения и исполнения вредоносного Lua-кода с правами суперпользователя. Особую тревогу вызывает тот факт, что эксплойт применим даже при включённом анонимном доступе, что делает уязвимыми публичные FTP-интерфейсы.
Эксперт объяснил: «Речь идёт о типичном RCE-эксплойте с полной компрометацией сервера из-за фундаментальной ошибки в обработке данных на границе ввода — а именно в трактовке \0-байта в строках».
В качестве комплексной меры защиты от подобных атак эксперт подчёркивает необходимость организации постоянного мониторинга безопасности на предприятиях. «Чтобы минимизировать риск, организациям необходимо незамедлительно обновить Wing FTP Server до версии 7.4.4 и выше и провести аудит сессионной логики на предмет подделки UID в куках. В качестве комплексной меры защиты от подобных атак, необходимо организовать мониторинг безопасности на предприятии. В корпоративном центре мониторинга GSOC используются основные инструменты: система класса SIEM — для раннего выявления аномалий, в том числе в поведении учётных записей и HTTP/FTP-трафике, для определения подозрительных отклонений в активности пользователей — инструменты поведенческой аналитики, а также EDR — для изоляции попытки запуска вредоносного кода. Уязвимость с таким вектором должна рассматриваться как критическая в любом периметре, особенно в инфраструктуре с доступом из интернета», — подытожил Михаил Спицын.
