Redazione RHC : 15 Luglio 2025 10:04
Questo strumento è destinato esclusivamente a scopi didattici e di penetration testing autorizzati. L’autore non si assume alcuna responsabilità per eventuali usi impropri o danni causati da questo software. Assicurarsi sempre di avere un’autorizzazione esplicita e scritta prima di eseguire qualsiasi test su un sistema.
Negli ultimi giorni è stata portata all’attenzione della comunità infosec una grave vulnerabilità di tipo Remote Code Execution (CVE‑2025‑47812) nel software Wing FTP Server, ampiamente utilizzato per offrire servizi FTP, FTPS e HTTP a migliaia di aziende.
L’exploit per questa vulnerabilità, caratterizzata da una grave manipolazione di byte NULL e iniezione di codice Lua, è stata provata da Manuel Roccon, root del gruppo HackerHood di Red Hot Cyber, che ha creato recentemente un sotto gruppo chiamato Hackerhood Pwned dove verranno testati dagli esperti di sicurezza, i principali exploit che vengono pubblicati.
 CALL FOR SPONSOR - Sponsorizza la Graphic Novel Betti-RHC Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La vulnerabilità CVE‑2025‑47812 — con CVSSv3 = 10.0 — coinvolge una falla nella gestione di stringhe terminate da byte NULL in loginok.html, consentendo a un attaccante non autenticato di iniettare codice Lua arbitrario e tale exploit si è rilevato come esecuzione molto facile (3 in scala da 1 a 10) confermando quanto riportato dal NIST come LOW.
Questa vulnerabilità è dovuta alla gestione impropria da parte di Wing FTP Server dei byte NULL nel parametro username durante il processo di autenticazione. Ciò consente agli aggressori di iniettare codice Lua direttamente nei file di sessione. Questi file di sessione dannosi vengono quindi eseguiti al caricamento di una sessione valida, causando l’esecuzione di comandi arbitrari sul server.
Le caratteristiche principali di questo exploit includono:
La vulnerabilità CVE-2025-47812 è un problema critico derivante da molteplici debolezze nel modo in cui Wing FTP Server gestisce l’autenticazione degli utenti e le sessioni:
c_CheckUser(): la c_CheckUser()funzione, responsabile dell’autenticazione dell’utente, utilizza internamente strlen()il nome utente fornito. Quando un byte NULL ( %00) viene iniettato nel nome utente (ad esempio, anonymous%00...), strlen() e tronca la stringa in questo punto. Ciò significa che l’autenticazione riesce per la parte del nome utente prima del byte NULL, bypassando di fatto la convalida corretta.rawset(_SESSION, "username", username)chiamata all’interno loginok.html utilizza l’ intero nome utente non purificato direttamente dai parametri GET o POST. Questo include il byte NULL e tutti i caratteri successivi.anonymous%00]]%0dlocal+h+%3d+io.popen("id")%0dlocal+r+%3d+h%3aread("*a")%0dh%3aclose()%0dprint(r)%0d--) fa sì che questo codice dannoso venga scritto direttamente nel file di sessione.SessionModule.load(), invocata quando si accede a una funzionalità autenticata (come /dir.html), esegue direttamente il file di sessione utilizzando loadfile(filepath) seguito da f(). Questo passaggio cruciale attiva il codice Lua iniettato, portando all’esecuzione di codice remoto (RCE).Il gruppo Hackerhood/pwned ha replicato in laboratorio la stessa tecnica, creando una dimostrazione visiva dell’attacco, e l’ha resa pubblica in rete. Nel video si apprezza in modo chiaro l’iniezione Lua, il download del payload, e l’esecuzione che apre una shell con privilegi elevati. «Ecco come un attaccante non autenticato può, in pochi secondi, ottenere pieno controllo di un server Wing FTP.»
Misure urgenti suggerite alle organizzazioni:
Azione Dettaglio Aggiornamento immediato Installare la versione 7.4.4 di Wing FTP Server (disponibile da 14 maggio 2025) Disabilitare accesso anonimo Evitare l’accesso via FTP anonimo, soprattutto su HTTP/HTTPS Monitoraggio attivo Controllare file in session/*.luae log inDomains/*/*.logper tracce di iniezioni LuāRegole network Limitare l’accesso HTTP/HTTPS solo ai client autorizzati Sistemisti Abilitare antivirus/EDR come Microsoft Defender e soluzioni di rilevamento anomalie
RedazioneQuesta mattina Paragon Sec è stata contattata da un’azienda italiana vittima di un nuovo tentativo di frode conosciuto come Truffa del CEO. L’ufficio contabilità ha ricevuto un’e-mail urgente,...
i ricercatori di Check Point Software, hanno recentemente pubblicato un’indagine sull’aumento delle truffe farmaceutiche basate sull’intelligenza artificiale. È stato rilevato come i criminali ...
L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha assunto il ruolo di Root all’interno del programma Common Vulnerabilities and Exposures (CVE), diventando il principale punt...
Il progetto Tor ha annunciato l’introduzione di un nuovo schema di crittografia, chiamato Counter Galois Onion (CGO), destinato a sostituire il precedente metodo Tor1 Relay. L’aggiornamento mira a...
L’attuale accelerazione normativa in materia di cybersicurezza non è un fenomeno isolato, ma il culmine di un percorso di maturazione del Diritto penale che ha dovuto confrontarsi con la dematerial...
