Una recente vulnerabilità di massima gravità, identificata come CVE-2025-47812, ha colpito il software Wing FTP Server ed è attualmente oggetto di attacchi attivi secondo quanto riportato dagli esperti di sicurezza informatica. Questo problema di sicurezza, che ha ricevuto un punteggio CVSS di 10.0, riguarda una gestione impropria dei caratteri nulli nella web interface del server, permettendo di eseguire codice remoto tramite injection di codice Lua nelle sessioni utente. Il difetto è stato risolto nella versione 7.4.4 del software, ma numerosi sistemi risultano ancora vulnerabili.

La criticità di questa vulnerabilità risiede nel fatto che può essere sfruttata anche da account FTP anonimi, aumentando notevolmente il rischio di compromissione. Gli attaccanti sono in grado di iniettare codice Lua arbitrario nei file di sessione dell’utente, ottenendo così la possibilità di eseguire comandi di sistema con i privilegi del servizio FTP, che spesso corrispondono a root o SYSTEM. Una dettagliata analisi tecnica della falla è diventata pubblica verso la fine di giugno 2025, favorendo la rapida diffusione degli exploit.

Attività malevole rilevate:

• Scaricamento e avvio di file Lua dannosi
• Attività di ricognizione sul sistema compromesso
• Tentativi di installazione di software di controllo remoto come ScreenConnect

L’exploit si basa sull’iniezione di caratteri nulli nel parametro username durante il processo di autenticazione via web, aggirando così le protezioni e consentendo l’iniezione di codice.

Il primo caso di attacco documentato risale al 1 luglio 2025, appena un giorno dopo la pubblicazione dei dettagli dell’exploit, segno di quanto rapidamente siano state sfruttate le informazioni dai cybercriminali. Gli aggressori, una volta ottenuto l’accesso, hanno eseguito comandi di enumerazione, creato nuovi utenti per mantenere la persistenza e caricato ulteriori file malevoli. Fortunatamente, in alcuni casi, i tentativi di installazione di software di remote desktop sono stati fermati in tempo.

Diffusione e raccomandazioni:

Secondo i dati di scansione di Censys, oltre 8.000 dispositivi con Wing FTP Server sono esposti pubblicamente, di cui oltre 5.000 presentano la web interface accessibile da internet. Le installazioni interessate sono concentrate soprattutto negli Stati Uniti, Cina, Germania, Regno Unito e India. Dato lo sfruttamento attivo della falla, è fondamentale che tutti gli amministratori di sistema aggiornino immediatamente Wing FTP Server almeno alla versione 7.4.4 per mitigare i rischi di compromissione.