Una recente vulnerabilità di massima gravità, identificata come CVE-2025-47812, ha colpito il software Wing FTP Server ed è attualmente oggetto di attacchi attivi secondo quanto riportato dagli esperti di sicurezza informatica. Questo problema di sicurezza, che ha ricevuto un punteggio CVSS di 10.0, riguarda una gestione impropria dei caratteri nulli nella web interface del server, permettendo di eseguire codice remoto tramite injection di codice Lua nelle sessioni utente. Il difetto è stato risolto nella versione 7.4.4 del software, ma numerosi sistemi risultano ancora vulnerabili.
La criticità di questa vulnerabilità risiede nel fatto che può essere sfruttata anche da account FTP anonimi, aumentando notevolmente il rischio di compromissione. Gli attaccanti sono in grado di iniettare codice Lua arbitrario nei file di sessione dell’utente, ottenendo così la possibilità di eseguire comandi di sistema con i privilegi del servizio FTP, che spesso corrispondono a root o SYSTEM. Una dettagliata analisi tecnica della falla è diventata pubblica verso la fine di giugno 2025, favorendo la rapida diffusione degli exploit.
Attività malevole rilevate:
- Scaricamento e avvio di file Lua dannosi
- Attività di ricognizione sul sistema compromesso
- Tentativi di installazione di software di controllo remoto come ScreenConnect
Il primo caso di attacco documentato risale al 1 luglio 2025, appena un giorno dopo la pubblicazione dei dettagli dell’exploit, segno di quanto rapidamente siano state sfruttate le informazioni dai cybercriminali. Gli aggressori, una volta ottenuto l’accesso, hanno eseguito comandi di enumerazione, creato nuovi utenti per mantenere la persistenza e caricato ulteriori file malevoli. Fortunatamente, in alcuni casi, i tentativi di installazione di software di remote desktop sono stati fermati in tempo.