A agência de cibersegurança norte-americana CISA emitiu um aviso urgente dirigido às agências governamentais para protegerem as suas instâncias do Wing FTP Server. Em causa está uma vulnerabilidade que está a ser ativamente explorada por atacantes e que pode ser combinada com outros erros para permitir a execução remota de código malicioso nos sistemas afetados.
O Wing FTP Server é uma solução multiplataforma muito popular, utilizada por mais de 10.000 clientes a nível global, incluindo gigantes como a Sony, Airbus e a Reuters. Conforme detalhado no catálogo de vulnerabilidades exploradas da CISA, a falha identificada como CVE-2025-47813 permite que atacantes com poucos privilégios descubram o caminho de instalação local da aplicação em servidores que ainda não foram atualizados.
O perigo da exposição de dados sensíveis
Esta vulnerabilidade específica ocorre devido à forma como o software gera mensagens de erro quando é utilizado um valor demasiado longo no cookie UID. Estas mensagens acabam por revelar informações sensíveis sobre a estrutura interna do servidor. Embora possa parecer um problema menor, investigadores de segurança indicam que esta informação é crucial para preparar ataques mais complexos de execução remota de código (RCE).
O programador do software lançou uma correção para este problema em maio de 2025, com a chegada da versão v7.4.4 do Wing FTP Server. Esta atualização resolveu também um erro crítico de RCE (CVE-2025-47812) e uma falha que permitia a exposição de dados (CVE-2025-27889), a qual podia ser utilizada para roubar palavras-passe dos utilizadores. É fundamental que os administradores garantam que os seus sistemas estão a correr versões iguais ou superiores à v7.4.4 para mitigar estes riscos.
Prazos apertados para a segurança federal
Devido ao facto de existir código de exploração público e de a falha estar a ser aproveitada por piratas informáticos, a CISA deu apenas duas semanas às agências federais para garantirem a segurança dos seus equipamentos. Este tipo de falha é considerado um vetor de ataque frequente e representa um risco significativo para a infraestrutura digital das organizações.
Apesar de a diretiva de segurança ser obrigatória apenas para entidades governamentais dos EUA, a recomendação é estendida ao setor privado e a todos os utilizadores a nível mundial. Caso não seja possível aplicar as correções imediatas sugeridas pelo fabricante, a orientação oficial passa por interromper a utilização do produto até que o sistema esteja devidamente protegido contra estas investidas no site oficial da base de dados de vulnerabilidades.
Nenhum comentário
Seja o primeiro!