Pesquisadores de segurança da Huntress publicaram um alerta confirmando a exploração ativa de uma vulnerabilidade crítica de execução remota de código (RCE) no Wing FTP Server. Registrada como CVE-2025-47812, a falha teve seu primeiro ataque observado apenas um dia após a divulgação da vulnerabilidade. A falha afeta versões anteriores à 7.4.4 e pode levar à execução remota de código no nível de root ou SISTEMA, gerando chamadas urgentes para que as organizações atualizem suas instalações imediatamente.
Leia também
Novo malware visa servidores FTP, phpMyAdmin, MySQL e Postgres
Grupos espionam redes corporativas via e-mails e conexões FTP
O CVE-2025-47812 representa uma ameaça significativa à segurança, decorrente do tratamento inadequado de bytes nulos no parâmetro de nome de usuário, especificamente relacionado ao arquivo loginok.html, que gerencia os processos de autenticação. A vulnerabilidade permite que invasores remotos realizem ataques de injeção LUA explorando fraquezas de manipulação de bytes nulos, potencialmente comprometendo sistemas inteiros. Pesquisadores da Huntress observaram invasores realizando extensas atividades de reconhecimento, incluindo comandos de enumeração do sistema, criação de usuários para persistência e tentativas de entrega de carga útil por meio de vários métodos, incluindo ferramentas de acesso remoto ScreenConnect e executáveis maliciosos.
Os arquivos de log localizados em C:\Arquivos de Programas (x86)\Wing FTP Server\Log\ contêm entradas truncadas que indicam tentativas de exploração, enquanto os arquivos de objeto de sessão no diretório de sessão revelam código Lua injetado com tamanhos de arquivo significativamente maiores.
A análise dos arquivos de sessão revelou invasores tentando executar comandos por meio de payloads codificados em hexadecimal, incluindo tentativas de baixar e executar binários maliciosos usando o utilitário certutil do Windows.
