Menu Mobile
Voltar ao início do blog

Crítica falha RCE no Wing FTP Server é explorada por hackers ativos

Segurança da Informação

Crítica falha RCE no Wing FTP Server é explorada por hackers ativos

Uma vulnerabilidade crítica de execução remota de código (RCE) no Wing FTP Server está sendo explorada ativamente por hackers. Essa falha permite que invasores criem contas e executem comandos com ...

Resumo rápido

Uma vulnerabilidade crítica de execução remota de código (RCE) no Wing FTP Server está sendo explorada ativamente por hackers. Essa falha permite que invasores criem contas e executem comandos com privilégios elevados. Atualizações de segurança são essenciais para mitigar os riscos.

Neste artigo você vai aprender:

  • O que é a vulnerabilidade RCE no Wing FTP Server.
  • Como funciona a exploração da falha CVE-2025-47812.
  • Sinais de alerta para identificar se seu servidor está comprometido.
  • Medidas imediatas a serem tomadas para se proteger.
  • Boas práticas para prevenir futuras vulnerabilidades.

O que é a vulnerabilidade RCE no Wing FTP Server

Na virada de julho de 2025, foi detectada exploração ativa de uma vulnerabilidade crítica de execução remota de código (RCE) no Wing FTP Server. Ataques começaram apenas um dia após a divulgação pública dos detalhes técnicos, deixando inúmeros servidores expostos.

Como funciona

Pesquisador Julien Ahrens revelou em 30 de junho a falha CVE-2025-47812, que mistura injeção de byte nulo com código Lua e aproveita falha no tratamento de strings nulas em C++ e sanitização incorreta em Lua. Hackers maliciosos já exploram essa brecha para criar contas, persistência no sistema e executar comandos com privilégios root/SYSTEM, baixando malware via certutil ou cURL.

A vulnerabilidade afeta Wing FTP versões até 7.4.3; a correção foi lançada em 14 de maio de 2025 na versão 7.4.4, exceto para um segundo problema menos grave (CVE-2025-47811).

Além disso, foram identificadas outras três falhas associadas: exfiltração de senhas via URL (CVE-2025-27889), execução como root/SYSTEM sem sandbox (CVE-2025-47811) e exposição de caminhos do sistema por cookie (CVE-2025-47813).

Sinais de alerta / Como identificar

Relatório da Huntress confirmou ataques reais a partir de 1º de julho, com múltiplos IPs escaneando e usando payloads maliciosos executados via cmd.exe, embora alguns tenham sido interrompidos por Defender.

O que fazer agora / Como se proteger

  1. Atualize imediatamente para o Wing FTP Server versão 7.4.4 ou superior.
  2. Se não for possível atualizar, restrinja acesso ao portal HTTP/S, desative logins anônimos e monitore o diretório de sessões por arquivos .lua suspeitos.
  3. Aplique camadas extras de filtragem em uploads ou parâmetros de nome de usuário, bloqueando bytes nulos.
  4. Faça auditorias regulares de segurança, incluindo verificações de integridade do sistema e análise de logs.

Prevenção / Boas práticas

Esta vulnerabilidade em Wing FTP Server destaca como falhas simples — como tratamento inadequado de strings — podem acarretar invasões graves com controle total do servidor. A atualização imediata é crítica.

Proteja sua infraestrutura com a LC Sec

Na LC SEC, ajudamos desde a aplicação de patches e endurecimento de acesso até auditorias contínuas e monitoramento ativo para proteger sua infraestrutura. Entre em contato e garanta a segurança dos seus ambientes: lcsec.io

Falar com especialista

Compartilhe nas redes sociais:

Você cuida da sua empresa, a LC Sec cuida da sua cibersegurança

conheça a lc sec

Conteúdos relacionados

11 de Agosto de 2025

Falha crítica no WinRAR é explorada ativamente: saiba como se proteger
29 de Outubro de 2025

Falha crítica no Windows Server expõe redes corporativas: saiba como agir
26 de Agosto de 2025

Falha crítica no Docker Desktop: veja como proteger seu Windows