Redazione RHC : 15 Luglio 2025 10:04
Questo strumento è destinato esclusivamente a scopi didattici e di penetration testing autorizzati. L’autore non si assume alcuna responsabilità per eventuali usi impropri o danni causati da questo software. Assicurarsi sempre di avere un’autorizzazione esplicita e scritta prima di eseguire qualsiasi test su un sistema.
Negli ultimi giorni è stata portata all’attenzione della comunità infosec una grave vulnerabilità di tipo Remote Code Execution (CVE‑2025‑47812) nel software Wing FTP Server, ampiamente utilizzato per offrire servizi FTP, FTPS e HTTP a migliaia di aziende.
L’exploit per questa vulnerabilità, caratterizzata da una grave manipolazione di byte NULL e iniezione di codice Lua, è stata provata da Manuel Roccon, root del gruppo HackerHood di Red Hot Cyber, che ha creato recentemente un sotto gruppo chiamato Hackerhood Pwned dove verranno testati dagli esperti di sicurezza, i principali exploit che vengono pubblicati.
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La vulnerabilità CVE‑2025‑47812 — con CVSSv3 = 10.0 — coinvolge una falla nella gestione di stringhe terminate da byte NULL in loginok.html, consentendo a un attaccante non autenticato di iniettare codice Lua arbitrario e tale exploit si è rilevato come esecuzione molto facile (3 in scala da 1 a 10) confermando quanto riportato dal NIST come LOW.
Questa vulnerabilità è dovuta alla gestione impropria da parte di Wing FTP Server dei byte NULL nel parametro username durante il processo di autenticazione. Ciò consente agli aggressori di iniettare codice Lua direttamente nei file di sessione. Questi file di sessione dannosi vengono quindi eseguiti al caricamento di una sessione valida, causando l’esecuzione di comandi arbitrari sul server.
Le caratteristiche principali di questo exploit includono:
La vulnerabilità CVE-2025-47812 è un problema critico derivante da molteplici debolezze nel modo in cui Wing FTP Server gestisce l’autenticazione degli utenti e le sessioni:
c_CheckUser(): la c_CheckUser()funzione, responsabile dell’autenticazione dell’utente, utilizza internamente strlen()il nome utente fornito. Quando un byte NULL ( %00) viene iniettato nel nome utente (ad esempio, anonymous%00...), strlen() e tronca la stringa in questo punto. Ciò significa che l’autenticazione riesce per la parte del nome utente prima del byte NULL, bypassando di fatto la convalida corretta.rawset(_SESSION, "username", username)chiamata all’interno loginok.html utilizza l’ intero nome utente non purificato direttamente dai parametri GET o POST. Questo include il byte NULL e tutti i caratteri successivi.anonymous%00]]%0dlocal+h+%3d+io.popen("id")%0dlocal+r+%3d+h%3aread("*a")%0dh%3aclose()%0dprint(r)%0d--) fa sì che questo codice dannoso venga scritto direttamente nel file di sessione.SessionModule.load(), invocata quando si accede a una funzionalità autenticata (come /dir.html), esegue direttamente il file di sessione utilizzando loadfile(filepath) seguito da f(). Questo passaggio cruciale attiva il codice Lua iniettato, portando all’esecuzione di codice remoto (RCE).Il gruppo Hackerhood/pwned ha replicato in laboratorio la stessa tecnica, creando una dimostrazione visiva dell’attacco, e l’ha resa pubblica in rete. Nel video si apprezza in modo chiaro l’iniezione Lua, il download del payload, e l’esecuzione che apre una shell con privilegi elevati. «Ecco come un attaccante non autenticato può, in pochi secondi, ottenere pieno controllo di un server Wing FTP.»
Misure urgenti suggerite alle organizzazioni:
Azione Dettaglio Aggiornamento immediato Installare la versione 7.4.4 di Wing FTP Server (disponibile da 14 maggio 2025) Disabilitare accesso anonimo Evitare l’accesso via FTP anonimo, soprattutto su HTTP/HTTPS Monitoraggio attivo Controllare file in session/*.luae log inDomains/*/*.logper tracce di iniezioni LuāRegole network Limitare l’accesso HTTP/HTTPS solo ai client autorizzati Sistemisti Abilitare antivirus/EDR come Microsoft Defender e soluzioni di rilevamento anomalie
RedazioneMicrosoft Teams riceverà un aggiornamento a dicembre 2025 che consentirà di monitorare la posizione dei dipendenti tramite la rete Wi-Fi dell’ufficio. Secondo la roadmap di Microsoft 365 , “quan...
Un’indagine condotta dall’Unione Europea di Radiodiffusione (EBU), con il supporto della BBC, ha messo in luce che i chatbot più popolari tendono a distorcere le notizie, modificandone il senso, ...
Spesso abbiamo citato questa frase: “Combattere il cybercrime è come estirpare le erbacce: se non le estirpi completamente rinasceranno, molto più vigorose di prima” e mai come ora risulta esser...
Per tre giorni consecutivi, dal 19 al 22 ottobre, il Comune di Caponago è rimasto isolato dal web a causa di un insolito incidente: una volpe è finita in un pozzetto della rete telefonica, danneggia...
Un’allerta globale è stata lanciata dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, riguardante lo sfruttamento attivo di una falla critica di esecuzione di codice ...
