Serangan Siber Mengincar Wing FTP, Update Segera Versi Terbaru

Kerentanan keamanan berbahaya kembali menjadi sorotan dunia siber setelah para hacker memanfaatkan celah eksekusi kode jarak jauh (Remote Code Execution/RCE) di aplikasi Wing FTP Server, hanya sehari setelah rincian teknis celah tersebut dipublikasikan secara terbuka.

Kerentanan tersebut, yang telah diberi kode CVE-2025-47812, memungkinkan penyerang dari jarak jauh untuk mengeksekusi perintah di server sebagai pengguna tertinggi (root atau SYSTEM) tanpa perlu otentikasi. Ini menjadikan celah tersebut sangat kritis dan berbahaya.

 
Serangan Terjadi Sehari Setelah Publikasi

Tim peneliti dari perusahaan keamanan siber Huntress melaporkan bahwa mereka mendeteksi aktivitas eksploitasi langsung terhadap server Wing FTP pada 1 Juli 2025, tepat sehari setelah penjelasan teknis mengenai CVE-2025-47812 dipublikasikan oleh peneliti keamanan Julien Ahrens.

Dalam serangan yang diamati, para pelaku mengirimkan permintaan login palsu yang menyisipkan null byte dalam nama pengguna, sehingga menciptakan file sesi .lua yang mengandung kode berbahaya. Kode tersebut kemudian dijalankan oleh server dan memungkinkan eksekusi perintah berbahaya melalui cmd.exe, termasuk:

• Pengunduhan malware dari sumber eksternal
• Eksekusi kode lewat payload dalam bentuk hexadecimal
• Upaya eksfiltrasi data menggunakan curl dan webhook eksternal

Serangan ini dilakukan oleh beberapa alamat IP berbeda, menunjukkan adanya eksploitasi massal oleh berbagai aktor ancaman.

 
Kerentanan Sangat Kritis: Eksekusi Kode Tanpa Autentikasi

Celah CVE-2025-47812 bersumber dari kombinasi null byte injection dan kelemahan dalam sistem skrip Lua yang digunakan Wing FTP Server. Menurut Julien Ahrens, penanganan string null-terminated yang tidak aman dalam bahasa pemrograman C++, serta penyaringan input yang buruk, menjadi penyebab utama dari celah ini.

Efeknya sangat berbahaya, karena penyerang bisa membuat file sesi pengguna yang disisipi kode Lua, dan saat file ini dijalankan, maka perintah apapun bisa dilaksanakan di sistem sebagai pengguna dengan hak akses penuh.

 
Wing FTP Server Banyak Digunakan Perusahaan

Wing FTP Server adalah solusi populer untuk manajemen dan transfer file aman. Aplikasi ini dikenal fleksibel dan mendukung skrip Lua yang memungkinkan otomatisasi proses. Karena kemudahan dan kemampuannya, Wing FTP digunakan secara luas oleh perusahaan besar maupun UMKM.

Namun, karena sifatnya yang powerful dan sering dijalankan sebagai root/SYSTEM tanpa sandboxing, Wing FTP Server menjadi target yang menarik bagi penyerang.

 
Tiga Celah Tambahan yang Ditemukan

Selain CVE-2025-47812, Julien Ahrens juga menemukan tiga kerentanan lain pada aplikasi Wing FTP Server, yang seluruhnya memengaruhi versi 7.4.3 ke bawah, yaitu:

1. CVE-2025-27889
   Memungkinkan pencurian password melalui URL yang dimodifikasi. Pengguna yang memasukkan kata sandi ke formulir login bisa membocorkan datanya lewat skrip JavaScript.
2. CVE-2025-47811
   Aplikasi secara default dijalankan sebagai root tanpa sandbox, membuat efek eksploitasi RCE makin fatal. Celah ini belum diperbaiki, karena dianggap tidak terlalu penting oleh pengembang.
3. CVE-2025-47813
   Memungkinkan pengungkapan jalur sistem file hanya dengan mengirim cookie UID yang sangat panjang.
   Semua celah tersebut telah ditambal dalam versi terbaru 7.4.4, yang dirilis oleh pengembang pada 14 Mei 2025, kecuali untuk CVE-2025-47811.

 
Eksploitasi Gagal, Tapi Ancaman Nyata

Meskipun upaya peretasan yang diamati oleh Huntress tidak berhasil sepenuhnya, baik karena ketidaktahuan pelaku maupun karena Microsoft Defender berhasil memblokir proses tertentu, para peneliti menegaskan bahwa ini adalah tanda bahaya yang serius.

Tim Huntress menemukan indikasi kuat bahwa sistem target mengalami:

• Perintah enumerasi sistem
• Usaha membangun persistensi melalui pembuatan akun baru
• Upaya eksfiltrasi data melalui alat seperti curl

Serangan datang dari lima IP berbeda dalam waktu berdekatan, memperkuat dugaan bahwa para pelaku menggunakan skrip otomatis untuk melakukan pemindaian dan eksploitasi massal terhadap server-server yang rentan.

 
Rekomendasi Keamanan: Segera Perbarui!

Para ahli keamanan dari Huntress dan komunitas keamanan siber global mengimbau semua pengguna Wing FTP Server untuk:

• Segera memperbarui ke versi 7.4.4, yang telah memperbaiki sebagian besar celah berbahaya
• Nonaktifkan atau batasi akses HTTP/HTTPS ke portal web Wing FTP
• Nonaktifkan login anonim
• Pantau direktori sesi secara berkala untuk melihat apakah ada file .lua mencurigakan yang muncul secara tiba-tiba

Langkah-langkah tersebut dapat mengurangi risiko serangan, terutama jika belum memungkinkan melakukan pembaruan segera.

Eksploitasi terhadap celah CVE-2025-47812 di Wing FTP Server menjadi contoh nyata bagaimana kerentanan keamanan dapat disalahgunakan dengan cepat begitu informasi teknisnya tersedia di publik. Dalam kurang dari 24 jam, sudah ada pihak yang mencoba mengeksploitasi celah tersebut dalam lingkungan nyata.

Perusahaan dan organisasi yang menggunakan Wing FTP Server versi lama harus bertindak cepat untuk mencegah pengambilalihan sistem dan potensi kebocoran data.