{"id":22770,"date":"2025-07-24T00:05:00","date_gmt":"2025-07-24T03:05:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=22770"},"modified":"2025-07-19T20:50:28","modified_gmt":"2025-07-19T23:50:28","slug":"falha-critica-no-wing-ftp-server","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/07\/exploits\/falha-critica-no-wing-ftp-server\/","title":{"rendered":"Falha Cr\u00edtica no Wing FTP Server"},"content":{"rendered":"\n

Falha Cr\u00edtica no Wing FTP Server: Inje\u00e7\u00e3o de Lua em Servidores Expostos<\/strong><\/p>\n

Uma vulnerabilidade grav\u00edssima, registrada como CVE-2025\u201147812<\/strong>, foi descoberta no software Wing FTP Server<\/strong>, amplamente utilizado para transfer\u00eancia de arquivos por empresas e provedores de hospedagem. Essa brecha, de classifica\u00e7\u00e3o m\u00e1xima (CVSS 10.0), permite execu\u00e7\u00e3o remota de c\u00f3digo via inje\u00e7\u00e3o de instru\u00e7\u00f5es Lua em arquivos de sess\u00e3o \u2014 tudo isso explor\u00e1vel por qualquer conta an\u00f4nima ou autenticada.<\/p>\n

\u00a0<\/p>\n

Modo de ataque<\/strong><\/p>\n

A falha ocorre devido ao tratamento incorreto de caracteres nulos (\\0<\/code>) nos par\u00e2metros da interface web \u2014 em especial o campo username<\/em>. Um atacante pode inserir uma sequ\u00eancia que inclui c\u00f3digo Lua dentro desse campo, que \u00e9 ent\u00e3o armazenado em arquivos .lua<\/code> no diret\u00f3rio de sess\u00e3o e executado com privil\u00e9gios de sistema (root<\/em> ou SYSTEM<\/em>), resultando em comprometimento total do servidor.<\/p>\n

\u00a0<\/p>\n

Primeiro registro de explora\u00e7\u00e3o<\/strong><\/p>\n

O grupo Huntress detectou explora\u00e7\u00e3o ativa dessa falha apenas um dia ap\u00f3s a divulga\u00e7\u00e3o p\u00fablica da POC (30 de junho de 2025). O ataque incluiu: reconhecimento e enumera\u00e7\u00e3o do sistema; cria\u00e7\u00e3o de novas contas para persist\u00eancia; download de scripts e ferramentas como ScreenConnect<\/strong> para controle remoto. O incidente foi interrompido pelo Microsoft Defender, impedindo a instala\u00e7\u00e3o efetiva do backdoor. No entanto, a amea\u00e7a permanece latente.<\/p>\n

\u00a0<\/p>\n

Escopo e urg\u00eancia da corre\u00e7\u00e3o<\/strong><\/p>\n

Segundo o Censys, h\u00e1 cerca de 8\u202f100 servidores Wing FTP acess\u00edveis publicamente<\/strong>, com aproximadamente 5\u202f000 interfaces web ativas<\/strong>, potencialmente vulner\u00e1veis a esse ataque. A vulnerabilidade j\u00e1 integra o cat\u00e1logo de explora\u00e7\u00e3o conhecida (KEV) da CISA<\/strong>, que exige aplica\u00e7\u00e3o de patch at\u00e9 4 de agosto de 2025. A vers\u00e3o segura \u00e9 a 7.4.4<\/strong> ou superior.<\/p>\n

\u00a0<\/p>\n

Mitiga\u00e7\u00e3o e boas pr\u00e1ticas<\/strong><\/p>\n

Para proteger os ambientes:<\/p>\n