Redazione RHC : 15 Luglio 2025 10:04
Questo strumento è destinato esclusivamente a scopi didattici e di penetration testing autorizzati. L’autore non si assume alcuna responsabilità per eventuali usi impropri o danni causati da questo software. Assicurarsi sempre di avere un’autorizzazione esplicita e scritta prima di eseguire qualsiasi test su un sistema.
Negli ultimi giorni è stata portata all’attenzione della comunità infosec una grave vulnerabilità di tipo Remote Code Execution (CVE‑2025‑47812) nel software Wing FTP Server, ampiamente utilizzato per offrire servizi FTP, FTPS e HTTP a migliaia di aziende.
L’exploit per questa vulnerabilità, caratterizzata da una grave manipolazione di byte NULL e iniezione di codice Lua, è stata provata da Manuel Roccon, root del gruppo HackerHood di Red Hot Cyber, che ha creato recentemente un sotto gruppo chiamato Hackerhood Pwned dove verranno testati dagli esperti di sicurezza, i principali exploit che vengono pubblicati.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
La vulnerabilità CVE‑2025‑47812 — con CVSSv3 = 10.0 — coinvolge una falla nella gestione di stringhe terminate da byte NULL in loginok.html, consentendo a un attaccante non autenticato di iniettare codice Lua arbitrario e tale exploit si è rilevato come esecuzione molto facile (3 in scala da 1 a 10) confermando quanto riportato dal NIST come LOW.
Questa vulnerabilità è dovuta alla gestione impropria da parte di Wing FTP Server dei byte NULL nel parametro username durante il processo di autenticazione. Ciò consente agli aggressori di iniettare codice Lua direttamente nei file di sessione. Questi file di sessione dannosi vengono quindi eseguiti al caricamento di una sessione valida, causando l’esecuzione di comandi arbitrari sul server.
Le caratteristiche principali di questo exploit includono:
La vulnerabilità CVE-2025-47812 è un problema critico derivante da molteplici debolezze nel modo in cui Wing FTP Server gestisce l’autenticazione degli utenti e le sessioni:
c_CheckUser(): la c_CheckUser()funzione, responsabile dell’autenticazione dell’utente, utilizza internamente strlen()il nome utente fornito. Quando un byte NULL ( %00) viene iniettato nel nome utente (ad esempio, anonymous%00...), strlen() e tronca la stringa in questo punto. Ciò significa che l’autenticazione riesce per la parte del nome utente prima del byte NULL, bypassando di fatto la convalida corretta.rawset(_SESSION, "username", username)chiamata all’interno loginok.html utilizza l’ intero nome utente non purificato direttamente dai parametri GET o POST. Questo include il byte NULL e tutti i caratteri successivi.anonymous%00]]%0dlocal+h+%3d+io.popen("id")%0dlocal+r+%3d+h%3aread("*a")%0dh%3aclose()%0dprint(r)%0d--) fa sì che questo codice dannoso venga scritto direttamente nel file di sessione.SessionModule.load(), invocata quando si accede a una funzionalità autenticata (come /dir.html), esegue direttamente il file di sessione utilizzando loadfile(filepath) seguito da f(). Questo passaggio cruciale attiva il codice Lua iniettato, portando all’esecuzione di codice remoto (RCE).Il gruppo Hackerhood/pwned ha replicato in laboratorio la stessa tecnica, creando una dimostrazione visiva dell’attacco, e l’ha resa pubblica in rete. Nel video si apprezza in modo chiaro l’iniezione Lua, il download del payload, e l’esecuzione che apre una shell con privilegi elevati. «Ecco come un attaccante non autenticato può, in pochi secondi, ottenere pieno controllo di un server Wing FTP.»
Misure urgenti suggerite alle organizzazioni:
Azione Dettaglio Aggiornamento immediato Installare la versione 7.4.4 di Wing FTP Server (disponibile da 14 maggio 2025) Disabilitare accesso anonimo Evitare l’accesso via FTP anonimo, soprattutto su HTTP/HTTPS Monitoraggio attivo Controllare file in session/*.luae log inDomains/*/*.logper tracce di iniezioni LuāRegole network Limitare l’accesso HTTP/HTTPS solo ai client autorizzati Sistemisti Abilitare antivirus/EDR come Microsoft Defender e soluzioni di rilevamento anomalie
RedazioneIl 24 agosto 2025 ha segnato i 30 anni dal lancio di Windows 95, il primo sistema operativo consumer a 32 bit di Microsoft destinato al mercato di massa, che ha rivoluzionato in modo significativo il ...
All’inizio del 2025 un’organizzazione italiana si è trovata vittima di un’intrusione subdola. Nessun exploit clamoroso, nessun attacco da manuale. A spalancare la porta agli ...
Nella notte del 19 agosto l’infrastruttura informatica dell’Università Pontificia Salesiana (UPS) è stata vittima di un grave attacco informatico che ha reso temporaneamente in...
APT36, noto anche come Transparent Tribe, ha intensificato una nuova campagna di spionaggio contro organizzazioni governative e di difesa in India. Il gruppo, legato al Pakistan, è attivo almeno ...
Nasce una nuova stella all’interno dell’ecosistema di Red Hot Cyber, un progetto pianificato da tempo che oggi vede finalmente la sua realizzazione. Si tratta di un laboratorio allȁ...
