CISA แจ้งเตือนหน่วยงานรัฐบาลสหรัฐฯ ให้เร่งอัปเดตแพตซ์ความปลอดภัยของ Wing FTP Server จากช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตีอย่างต่อเนื่อง ซึ่งอาจถูกนำไปใช้ในการเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ได้
Wing FTP Server เป็นซอฟแวร์ FTP server แบบ Cross-Platform ที่ทำให้สามารถ transfer file ได้อย่างปลอดภัยผ่าน built-in SFTP และ web server โดยผู้พัฒนาอ้างว่าซอฟต์แวร์ของพวกเขามีลูกค้าใช้งานมากกว่า 10,000 รายทั่วโลก รวมถึงกองทัพอากาศสหรัฐฯ, Sony, Airbus, Reuters และ Sephora
CVE-2025-47813 (คะแนน CVSS 4.3/10 ความรุนแรงระดับ MEDIUM) เป็นช่องโหว่ที่ทำให้ Hacker ที่มีสิทธิ์ในระดับต่ำ สามารถค้นหา path การติดตั้งแอปพลิเคชันในเครื่องได้บนเซิร์ฟเวอร์ที่ยังไม่ได้อัปเดตแพตช์ จากการแสดงข้อความ error message ที่มีข้อมูลที่มีความสำคัญเมื่อใช้ค่า long value ใน UID cookie
ผู้พัฒนาได้แก้ไขช่องโหว่ CVE-2025-47813 ในเดือนพฤษภาคม 2025 ใน Wing FTP Server เวอร์ชัน 7.4.4 พร้อมกับช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ระดับ Critical (CVE-2025-47812) และช่องโหว่ information disclosure (CVE-2025-27889) ที่สามารถใช้เพื่อขโมยรหัสผ่านของผู้ใช้ได้
นักวิจัยด้านความปลอดภัย Julien Ahrens เป็นผู้ค้นพบ และรายงานช่องโหว่นี้ ยังได้แชร์โค้ดการโจมตีแบบพิสูจน์แนวคิด (proof-of-concept exploit code) สำหรับ CVE-2025-47813 ในเดือนมิถุนายน 2025 และระบุว่า Hacker อาจโจมตีโดยใช้ช่องโหว่นี้ในลักษณะเดียวกันกับ CVE-2025-47812
ทั้งนี้ CISA ได้เพิ่ม CVE-2025-47813 ลงในรายการช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตีอย่างต่อเนื่อง และให้เวลาหน่วยงาน Federal Civilian Executive Branch (FCEB) สองสัปดาห์ในการรักษาความปลอดภัยระบบของตน ตามที่กำหนดไว้ใน Binding Operational Directive (BOD) 22-01 ซึ่งให้ใช้มาตรการแก้ไขตามคำแนะนำของผู้จำหน่าย ปฏิบัติตามคำแนะนำ BOD 22-01 ที่เกี่ยวข้องสำหรับบริการคลาวด์ หรือหยุดใช้ผลิตภัณฑ์หากไม่มีมาตรการแก้ไข
แม้ว่า BOD 22-01 จะมุ่งเป้าไปที่หน่วยงานของรัฐบาลกลางเท่านั้น แต่หน่วยงานด้านความปลอดภัยทางไซเบอร์ของสหรัฐฯ ก็ได้สนับสนุนให้ผู้ใช้งานทั้งหมด รวมถึงผู้ที่อยู่ในภาคเอกชน ทำการอัปเดตแพตช์เซิร์ฟเวอร์ของตนเพื่อป้องกันการโจมตีที่กำลังเกิดขึ้นอย่างต่อเนื่องโดยเร็วที่สุด
ที่มา : bleepingcomputer.com
You must be logged in to post a comment.