Uma falha de segurança recentemente divulgada, de máxima severidade, que afeta o Wing FTP Server, está sendo ativamente explorada, segundo a empresa Huntress.
A vulnerabilidade, identificada como CVE-2025-47812 (pontuação CVSS: 10.0), ocorre devido ao manejo inadequado de bytes nulos ('\0') na interface web do servidor, permitindo a execução remota de código.
Ela foi corrigida na versão 7.4.4.
"As interfaces web de usuário e administrador manipulam incorretamente bytes '\0', permitindo assim a injeção de código Lua arbitrário em arquivos de sessão de usuários", conforme um alerta sobre a falha na CVE.org.
"Isso pode ser usado para executar comandos de sistema arbitrários com os privilégios do serviço FTP (root ou SYSTEM por padrão)."
O que torna essa falha ainda mais preocupante é que ela pode ser explorada por meio de contas FTP anônimas.
Uma análise detalhada da vulnerabilidade foi divulgada ao público no final de junho de 2025, cortesia do pesquisador de segurança da RCE, Julien Ahrens.
A empresa de cibersegurança Huntress relatou que observou atores de ameaças explorando a falha para baixar e executar arquivos Lua maliciosos, realizar reconhecimento e instalar software de monitoramento e gestão remota.
"A CVE-2025-47812 decorre da forma como bytes nulos são manipulados no parâmetro de nome de usuário (especificamente relacionado ao arquivo loginok.html, que trata do processo de autenticação)", disseram os pesquisadores da Huntress.
Isso pode permitir que atacantes remotos realizem injeção de Lua após usar o byte nulo no parâmetro de nome de usuário.
Ao aproveitar a injeção de byte nulo, o adversário interrompe a entrada antecipada no arquivo Lua que armazena essas características de sessão.
Evidências de exploração ativa foram observadas pela primeira vez contra um único cliente no dia 1º de julho de 2025, apenas um dia após os detalhes da exploração serem divulgados.
Após obter acesso, diz-se que os atores de ameaças executaram comandos de enumeração e reconhecimento, criaram novos usuários como uma forma de persistência e baixaram arquivos Lua para soltar um instalador para o ScreenConnect.
Não há evidências de que o software de desktop remoto tenha sido, de fato, instalado, pois o ataque foi detectado e interrompido antes que pudesse avançar mais.
Atualmente, não está claro quem está por trás da atividade.
Dados da Censys mostram que existem 8.103 dispositivos publicamente acessíveis executando o Wing FTP Server, dos quais 5.004 têm sua interface web exposta.
A maioria das instâncias está localizada nos EUA, China, Alemanha, Reino Unido e Índia.
Diante da exploração ativa, é essencial que os usuários se movam rapidamente para aplicar as últimas correções e atualizar suas versões do Wing FTP Server para 7.4.4 ou posterior.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...