📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie o projeto e divulgue suas redes! Clique aqui
Os hackers começaram a explorar uma vulnerabilidade crítica de execução de código remoto no servidor Wing FTP apenas um dia depois que os detalhes técnicos sobre a falha se tornarem públicos.
O ataque observado executou vários comandos de enumeração e reconhecimento, seguidos pelo estabelecimento de persistência, criando novos usuários.
A vulnerabilidade do servidor Wing FTP explorada é rastreada como CVE-2025-47812 e recebeu a maior pontuação de gravidade. É uma combinação de uma injeção de byte nulo e Lua que permite que um invasor remoto não autenticado execute o código com os mais altos privilégios do sistema (raiz/sistema).
O Wing FTP Server é uma solução poderosa para gerenciar transferências de arquivos seguros que podem executar scripts Lua, que é amplamente utilizado em ambientes corporativos e SMB.
Em 30 de junho, o pesquisador de segurança Julien Ahrens publicou uma redação técnica para a CVE-2025-47812, explicando que a falha decorre do manuseio inseguro de seqüências de cordas terminadas nulas em C ++ e sinistização inadequada de entrada em Lua.
O pesquisador demonstrou como um byte nulo no campo de nome de usuário poderia ignorar as verificações de autenticação e permitir a injeção de código Lua nos arquivos de sessão.
Quando esses arquivos são posteriormente executados pelo servidor, é possível obter a execução do código arbitrário como raiz/sistema.
Juntamente com a CVE-2025-47812, o pesquisador apresentou outras três falhas no Wing FTP:
CVE-2025-27889-Permite a exfiltração de senhas de usuário por meio de um URL criado se o usuário enviar um formulário de login, devido à inclusão insegura da senha em uma variável JavaScript (local)
CVE-2025-47811-Wing FTP é executado como raiz/sistema por padrão, sem queda de sandbox ou privilégio, tornando os RCEs muito mais perigosos
CVE-2025-47813-O fornecimento de um cookie UID revela os caminhos do sistema de arquivos
Todas as falhas afetam as versões FTP 7.4.3 e anterior. O fornecedor corrigiu os problemas liberando a versão 7.4.4 em 14 de maio de 2025, exceto CVE-2025-47811, que foi considerado sem importância.
Pesquisadores de ameaças da plataforma gerenciada de segurança cibernética Huntress criou uma exploração de prova de conceito para CVE-2025-47812 e exibir no vídeo abaixo como os hackers poderiam aproveitá-lo em ataques:
Os pesquisadores da Huntress descobriram que, em 1º de julho, um dia após os detalhes técnicos do CVE-2025-47812 apareceram, pelo menos um atacante explorou a vulnerabilidade em um de seus clientes.
O invasor enviou solicitações de login malformadas com nomes de usuário injetados por byte, direcionando-se 'Loginok.html'. Essas entradas criaram arquivos de sessão maliciosa .lua que injetaram o código da Lua no servidor.
O código injetado foi projetado para decodificar uma carga útil hexadecimal e executá-la via cmd.exe, usando o certutil para baixar malware de um local remoto e executá-lo.
Huntress diz que a mesma instância de FTP de asa foi alvo de cinco endereços IP distintos em um curto período de tempo, indicando potencialmente tentativas de varredura de massa e exploração de vários atores de ameaças.
Os comandos observados nessas tentativas foram para reconhecimento, obtenção de persistência no ambiente e exfiltração de dados usando a ferramenta Curl e o endpoint webhook.
O hacker falhou no ataque "talvez devido ao seu desconhecimento com eles, ou porque o zagueiro da Microsoft parou parte de seu ataque", diz Huntress. No entanto, os pesquisadores observaram a exploração clara da vulnerabilidade do servidor FTP da asa crítica.
Mesmo que Huntress observasse ataques fracassados em seus clientes, é provável que os hackers digitalizem instâncias de FTP da ala acessíveis e tentem aproveitar os servidores vulneráveis.
As empresas são fortemente aconselhadas a atualizar para a versão 7.4.4 do produto o mais rápido possível.
Se a mudança para uma versão mais nova e segura não for possível, a recomendação dos pesquisadores é desativar ou restringir o acesso HTTP/HTTPS ao portal da Web Wing FTP, desativar logins anônimos e monitorar o diretório de sessão para adições suspeitas.
8 ameaças comuns em 2025
Embora os ataques em nuvem possam estar ficando mais sofisticados, os invasores ainda conseguem com técnicas surpreendentemente simples.
Com base nas detecções do Wiz em milhares de organizações, este relatório revela 8 técnicas principais usadas por atores de ameaças de fluentes de nuvem.
Obtenha o relatório
O ataque observado executou vários comandos de enumeração e reconhecimento, seguidos pelo estabelecimento de persistência, criando novos usuários.
A vulnerabilidade do servidor Wing FTP explorada é rastreada como CVE-2025-47812 e recebeu a maior pontuação de gravidade. É uma combinação de uma injeção de byte nulo e Lua que permite que um invasor remoto não autenticado execute o código com os mais altos privilégios do sistema (raiz/sistema).
O Wing FTP Server é uma solução poderosa para gerenciar transferências de arquivos seguros que podem executar scripts Lua, que é amplamente utilizado em ambientes corporativos e SMB.
Em 30 de junho, o pesquisador de segurança Julien Ahrens publicou uma redação técnica para a CVE-2025-47812, explicando que a falha decorre do manuseio inseguro de seqüências de cordas terminadas nulas em C ++ e sinistização inadequada de entrada em Lua.
O pesquisador demonstrou como um byte nulo no campo de nome de usuário poderia ignorar as verificações de autenticação e permitir a injeção de código Lua nos arquivos de sessão.
Quando esses arquivos são posteriormente executados pelo servidor, é possível obter a execução do código arbitrário como raiz/sistema.
Juntamente com a CVE-2025-47812, o pesquisador apresentou outras três falhas no Wing FTP:
CVE-2025-27889-Permite a exfiltração de senhas de usuário por meio de um URL criado se o usuário enviar um formulário de login, devido à inclusão insegura da senha em uma variável JavaScript (local)
CVE-2025-47811-Wing FTP é executado como raiz/sistema por padrão, sem queda de sandbox ou privilégio, tornando os RCEs muito mais perigosos
CVE-2025-47813-O fornecimento de um cookie UID revela os caminhos do sistema de arquivos
Todas as falhas afetam as versões FTP 7.4.3 e anterior. O fornecedor corrigiu os problemas liberando a versão 7.4.4 em 14 de maio de 2025, exceto CVE-2025-47811, que foi considerado sem importância.
Pesquisadores de ameaças da plataforma gerenciada de segurança cibernética Huntress criou uma exploração de prova de conceito para CVE-2025-47812 e exibir no vídeo abaixo como os hackers poderiam aproveitá-lo em ataques:
Os pesquisadores da Huntress descobriram que, em 1º de julho, um dia após os detalhes técnicos do CVE-2025-47812 apareceram, pelo menos um atacante explorou a vulnerabilidade em um de seus clientes.
O invasor enviou solicitações de login malformadas com nomes de usuário injetados por byte, direcionando-se 'Loginok.html'. Essas entradas criaram arquivos de sessão maliciosa .lua que injetaram o código da Lua no servidor.
O código injetado foi projetado para decodificar uma carga útil hexadecimal e executá-la via cmd.exe, usando o certutil para baixar malware de um local remoto e executá-lo.
Huntress diz que a mesma instância de FTP de asa foi alvo de cinco endereços IP distintos em um curto período de tempo, indicando potencialmente tentativas de varredura de massa e exploração de vários atores de ameaças.
Os comandos observados nessas tentativas foram para reconhecimento, obtenção de persistência no ambiente e exfiltração de dados usando a ferramenta Curl e o endpoint webhook.
O hacker falhou no ataque "talvez devido ao seu desconhecimento com eles, ou porque o zagueiro da Microsoft parou parte de seu ataque", diz Huntress. No entanto, os pesquisadores observaram a exploração clara da vulnerabilidade do servidor FTP da asa crítica.
Mesmo que Huntress observasse ataques fracassados em seus clientes, é provável que os hackers digitalizem instâncias de FTP da ala acessíveis e tentem aproveitar os servidores vulneráveis.
As empresas são fortemente aconselhadas a atualizar para a versão 7.4.4 do produto o mais rápido possível.
Se a mudança para uma versão mais nova e segura não for possível, a recomendação dos pesquisadores é desativar ou restringir o acesso HTTP/HTTPS ao portal da Web Wing FTP, desativar logins anônimos e monitorar o diretório de sessão para adições suspeitas.
8 ameaças comuns em 2025
Embora os ataques em nuvem possam estar ficando mais sofisticados, os invasores ainda conseguem com técnicas surpreendentemente simples.
Com base nas detecções do Wiz em milhares de organizações, este relatório revela 8 técnicas principais usadas por atores de ameaças de fluentes de nuvem.
Obtenha o relatório
#samirnews #samir #news #boletimtec #os #hackers #estão #explorando #a #falha #crítica #do #rce #no #servidor #wing #ftp
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário