- Os hackers lançaram ataques apenas um dia após a publicação técnica completa da falha, foi tornada pública
- Muitos servidores permaneceram vulneráveis por semanas, apesar de uma correção ser lançada muito antes da divulgação
- Injeção de bytes null no campo de nome de usuário permite que os atacantes ignorem o login e executem o código Lua
Os pesquisadores de segurança confirmaram que os atacantes estão explorando ativamente uma vulnerabilidade crítica no Wing FTP Server, uma solução amplamente usada para gerenciar transferências de arquivos.
Pesquisadores em Caçadora Digamos que a falha identificada como CVE-2025-47812 foi divulgada publicamente em 30 de junho e a exploração começou quase imediatamente, apenas um dia depois.
Essa vulnerabilidade permite que a execução de código remoto não autenticado (RCE), permitindo que os invasores executem código como raiz ou sistema em servidores vulneráveis.
O servidor Wing FTP permanece vulnerável em sistemas não patches
O servidor Wing FTP é implantado em ambientes corporativos e SMB e é usado por mais de 10.000 organizações em todo o mundo, incluindo clientes de alto nível, como Airbus, Reuters e a Força Aérea dos EUA.
A vulnerabilidade existe nas versões 7.4.3 e anterior e foi corrigida na versão 7.4.4, lançada em 14 de maio de 2025.
Apesar de a correção estar disponível por mais de um mês, muitos usuários permaneceram sem patch quando detalhes técnicos foram divulgados.
Pesquisador de segurança Julien Ahrens, explicado A questão decorre da hérstização inadequada de entrada e manuseio inseguro de seqüências de cordas terminadas nulas.
A fraqueza permite um byte nulo injetado no campo de nome de usuário para ignorar a autenticação e inserir o código LUA malicioso nos arquivos de sessão.
Esses arquivos, quando desapontados pelo servidor, acionam a execução do código no nível mais alto do sistema.
Um invasor criou arquivos de sessão maliciosa que usaram o Certutil e o CMD.exe para buscar e executar cargas úteis remotas.
Embora o ataque não tenha sido bem -sucedido, graças em parte ao zagueiro da Microsoft, os pesquisadores observaram que os intrusos tentaram escalar privilégios, realizar reconhecimento e criar novos usuários para manter a persistência.
Outro atacante teria que procurar como usar o Curl Mid-Ataque, e um envolveu uma segunda parte durante a operação.
Isso mostra a persistência de atacantes que provavelmente estão digitalizando instâncias de FTP da asa expostas, incluindo aqueles que executam versões desatualizadas.
Mesmo que os atacantes não tivessem sofisticação, a vulnerabilidade permanece altamente perigosa.
Os pesquisadores recomendam a atualização para a versão 7.4.4 imediatamente, mas onde as atualizações não são possíveis, desativando o acesso HTTP/s, removendo as opções de login anônimo e monitorando os diretórios de arquivos de sessão são etapas essenciais de mitigação.
Foram relatadas três vulnerabilidades adicionais: uma exfiltração de senha que habilita a senha por meio de JavaScript, outro caminho expondo -se por meio de um cookie sobrecarregado e um terceiro destacando a falta de caixa de areia do servidor.
Embora esses representem riscos graves, a CVE-2025-47812 recebeu a maior classificação de gravidade devido ao seu potencial de compromisso completo do sistema.
Via O registro e BleepingComputer
Fique conectado