Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
I ricercatori di Huntress hanno rilevato lo sfruttamento attivo di una vulnerabilità critica in Wing FTP Server, appena un giorno dopo la sua divulgazione pubblica. La vulnerabilità CVE-2025-47812 ha ricevuto il massimo livello di gravità (CVSS 10.0), in quanto consente l’esecuzione remota di codice arbitrario su un server vulnerabile. Il problema è stato scoperto e segnalato dagli specialisti di RCE Security, che ne hanno tuttavia pubblicato i dettagli tecnici solo il 30 giugno, più di un mese dopo il rilascio della patch.
Wing FTP Server è una popolare soluzione multipiattaforma per il trasferimento file che supporta i protocolli FTP, FTPS, SFTP e HTTP/S. Secondo gli sviluppatori, il programma è utilizzato da oltre 10.000 clienti in tutto il mondo, tra cui Airbus, Reuters e l’Aeronautica Militare statunitense. La vulnerabilità riguarda il meccanismo di gestione dei nomi utente nell’interfaccia web di Wing FTP. Quando viene trasmesso un nome utente contenente un byte nullo ( ), tutto ciò che segue viene interpretato come codice Lua. Questo codice viene salvato nel file di sessione e quindi eseguito durante la deserializzazione, consentendo a un aggressore di ottenere il pieno controllo del server.
Secondo Huntress, i primi attacchi sono iniziati il 1° luglio, meno di 24 ore dopo la divulgazione della vulnerabilità. Gli aggressori si sono chiaramente basati su informazioni tecniche pubblicate. Inizialmente, i ricercatori hanno registrato tre connessioni al server della vittima, dopodiché è comparso un quarto aggressore, che ha iniziato a scansionare attivamente il file system, creando nuovi utenti e cercando di introdursi nel sistema. Tuttavia, le sue azioni hanno rivelato un basso livello di preparazione: i comandi contenevano errori, PowerShell si è bloccato e un tentativo di scaricare un trojan è fallito: il file è stato intercettato da Microsoft Defender. L’analisi dei log ha mostrato che a un certo punto l’aggressore ha persino provato a cercare su Internet come utilizzare l’utilità curl e poi, probabilmente, ha chiesto aiuto: un quinto partecipante si è connesso al server.
Dopo diversi tentativi falliti, l’aggressore ha tentato di caricare un file dannoso, ma il server si è bloccato poco dopo e l’organizzazione lo ha messo in quarantena, impedendo ulteriori azioni. Nonostante l’inefficacia dell’attacco, Huntress avverte che la vulnerabilità CVE-2025-47812 è attivamente sfruttata e rappresenta una minaccia reale. I ricercatori raccomandano vivamente a tutti gli utenti di Wing FTP di aggiornare alla versione 7.4.4, che contiene la correzione.
L’incidente ha anche evidenziato la vulnerabilità dei protocolli legacy. FTP è stato creato negli anni ’70 e la sicurezza non era una priorità all’epoca. Sebbene Wing FTP supporti protocolli più sicuri come SFTP e MFT, questi sono disponibili solo in versioni commerciali. Molti progetti moderni come Chrome, Firefox e Debian hanno da tempo abbandonato il supporto per FTP, riflettendo un generale cambiamento di atteggiamento nei confronti del protocollo negli ambienti professionali.
