Falha Crítica no Wing FTP Server

Falha Crítica no Wing FTP Server: Injeção de Lua em Servidores Expostos

Uma vulnerabilidade gravíssima, registrada como CVE-2025‑47812, foi descoberta no software Wing FTP Server, amplamente utilizado para transferência de arquivos por empresas e provedores de hospedagem. Essa brecha, de classificação máxima (CVSS 10.0), permite execução remota de código via injeção de instruções Lua em arquivos de sessão — tudo isso explorável por qualquer conta anônima ou autenticada.

Modo de ataque

A falha ocorre devido ao tratamento incorreto de caracteres nulos (\0) nos parâmetros da interface web — em especial o campo username. Um atacante pode inserir uma sequência que inclui código Lua dentro desse campo, que é então armazenado em arquivos .lua no diretório de sessão e executado com privilégios de sistema (root ou SYSTEM), resultando em comprometimento total do servidor.

Primeiro registro de exploração

O grupo Huntress detectou exploração ativa dessa falha apenas um dia após a divulgação pública da POC (30 de junho de 2025). O ataque incluiu: reconhecimento e enumeração do sistema; criação de novas contas para persistência; download de scripts e ferramentas como ScreenConnect para controle remoto. O incidente foi interrompido pelo Microsoft Defender, impedindo a instalação efetiva do backdoor. No entanto, a ameaça permanece latente.

Escopo e urgência da correção

Segundo o Censys, há cerca de 8 100 servidores Wing FTP acessíveis publicamente, com aproximadamente 5 000 interfaces web ativas, potencialmente vulneráveis a esse ataque. A vulnerabilidade já integra o catálogo de exploração conhecida (KEV) da CISA, que exige aplicação de patch até 4 de agosto de 2025. A versão segura é a 7.4.4 ou superior.

Mitigação e boas práticas

Para proteger os ambientes:

• Atualize imediatamente para Wing FTP Server 7.4.4 ou versão superior.

• Desative contas anônimas de FTP, especialmente em servidores públicos.

• Restrinja acesso à interface web usando firewall ou VPN.

• Monitore os logs buscando padrões com %00 ou arquivos .lua criados fora do padrão.

• Faça auditoria completa em servidores explorados, com análise forense e reinstalação limpa.

Panorama e lições

Essa falha demonstra que a camada abaixo do sistema operacional — o management system mode (SMM) via Lua no Wing FTP — é uma superfície crítica de ataque que exige atenção contínua. A agilidade da exploração, ocorrendo poucas horas após publicação da falha, reforça a necessidade de resposta rápida e vigilância constante. Além disso, revela que operadores de serviços de infraestrutura devem adotar estratégias além de patching: controle de exposição pública, segmentação de rede e monitoramento comportamental em tempo real são indispensáveis.

Conclusão

A vulnerabilidade CVE‑2025‑47812 no Wing FTP Server representa uma ameaça crítica: permite invasão total via injeção de código Lua, com potencial de controle completo do servidor. A resposta mais eficaz é imediata: atualização, desativação de contas anônimas, restrições de acesso e monitoração focada são obrigatórios. A lição vai além do patch: reforça o princípio de defesa em profundidade, em que a segurança depende tanto da correção tempestiva quanto da redução de superfície de ataque e da vigilância ativa. Em um cenário onde segundos fazem diferença, proatividade e rigor operacional são essenciais para evitar que vulnerabilidades críticas sejam exploradas com consequências severas.

Referências Bibliográficas: 

• The Hacker News. (11 jul. 2025). Critical Wing FTP Server Vulnerability (CVE‑2025‑47812) Actively Being Exploited in the Wild. Disponível em: https://thehackernews.com/2025/07/critical-wing-ftp-server-vulnerability.html

• Help Net Security. (11 jul. 2025). Critical Wing FTP Server vulnerability exploited in the wild (CVE-2025-47812). Disponível em: https://www.helpnetsecurity.com/2025/07/11/critical-wing-ftp-server-vulnerability-exploited-in-the-wild-cve-2025-47812/