Blog

Crítica falha RCE no Wing FTP Server é explorada por

Escrito por LC Sec | 14/07/2025 22:34:09
Segurança da Informação

Crítica falha RCE no Wing FTP Server é explorada por hackers ativos

Uma vulnerabilidade crítica de execução remota de código (RCE) no Wing FTP Server está sendo explorada ativamente por hackers. Essa falha permite que invasores criem contas e executem comandos com ...

Navegação

O que é a vulnerabilidade RCE no Wing FTP Server Como funciona Sinais de alerta / Como identificar O que fazer agora / Como se proteger Prevenção / Boas práticas

Resumo rápido

Uma vulnerabilidade crítica de execução remota de código (RCE) no Wing FTP Server está sendo explorada ativamente por hackers. Essa falha permite que invasores criem contas e executem comandos com privilégios elevados. Atualizações de segurança são essenciais para mitigar os riscos.

Neste artigo você vai aprender:

  • O que é a vulnerabilidade RCE no Wing FTP Server.
  • Como funciona a exploração da falha CVE-2025-47812.
  • Sinais de alerta para identificar se seu servidor está comprometido.
  • Medidas imediatas a serem tomadas para se proteger.
  • Boas práticas para prevenir futuras vulnerabilidades.

O que é a vulnerabilidade RCE no Wing FTP Server

Na virada de julho de 2025, foi detectada exploração ativa de uma vulnerabilidade crítica de execução remota de código (RCE) no Wing FTP Server. Ataques começaram apenas um dia após a divulgação pública dos detalhes técnicos, deixando inúmeros servidores expostos.

Como funciona

Pesquisador Julien Ahrens revelou em 30 de junho a falha CVE-2025-47812, que mistura injeção de byte nulo com código Lua e aproveita falha no tratamento de strings nulas em C++ e sanitização incorreta em Lua. Hackers maliciosos já exploram essa brecha para criar contas, persistência no sistema e executar comandos com privilégios root/SYSTEM, baixando malware via certutil ou cURL.

A vulnerabilidade afeta Wing FTP versões até 7.4.3; a correção foi lançada em 14 de maio de 2025 na versão 7.4.4, exceto para um segundo problema menos grave (CVE-2025-47811).

Além disso, foram identificadas outras três falhas associadas: exfiltração de senhas via URL (CVE-2025-27889), execução como root/SYSTEM sem sandbox (CVE-2025-47811) e exposição de caminhos do sistema por cookie (CVE-2025-47813).

Sinais de alerta / Como identificar

Relatório da Huntress confirmou ataques reais a partir de 1º de julho, com múltiplos IPs escaneando e usando payloads maliciosos executados via cmd.exe, embora alguns tenham sido interrompidos por Defender.

O que fazer agora / Como se proteger

  1. Atualize imediatamente para o Wing FTP Server versão 7.4.4 ou superior.
  2. Se não for possível atualizar, restrinja acesso ao portal HTTP/S, desative logins anônimos e monitore o diretório de sessões por arquivos .lua suspeitos.
  3. Aplique camadas extras de filtragem em uploads ou parâmetros de nome de usuário, bloqueando bytes nulos.
  4. Faça auditorias regulares de segurança, incluindo verificações de integridade do sistema e análise de logs.

Prevenção / Boas práticas

Esta vulnerabilidade em Wing FTP Server destaca como falhas simples — como tratamento inadequado de strings — podem acarretar invasões graves com controle total do servidor. A atualização imediata é crítica.

Proteja sua infraestrutura com a LC Sec

Na LC SEC, ajudamos desde a aplicação de patches e endurecimento de acesso até auditorias contínuas e monitoramento ativo para proteger sua infraestrutura. Entre em contato e garanta a segurança dos seus ambientes: lcsec.io

Falar com especialista
Visualizar publicação completa