Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias CVE-2025-47812: Vulnerabilidad crítica en Wing FTP permite ejecución remota de código
Noticias

CVE-2025-47812: Vulnerabilidad crítica en Wing FTP permite ejecución remota de código

por Dragora
Escrito por Dragora

Wing FTP Server, una de las soluciones más utilizadas para transferencias seguras de archivos en entornos empresariales y de pequeñas y medianas empresas (PYMES), enfrenta actualmente una grave amenaza de seguridad. Investigadores han confirmado la explotación activa de una vulnerabilidad crítica de ejecución remota de código (RCE) rastreada como CVE-2025-47812, apenas un día después de que se hicieran públicos sus detalles técnicos.

Esta falla, considerada de máxima severidad, permite a atacantes remotos no autenticados ejecutar código arbitrario con privilegios de root/SYSTEM, abriendo la puerta a compromisos completos del sistema.

 Origen de la vulnerabilidad CVE-2025-47812

El investigador de seguridad Julien Ahrens fue quien descubrió y documentó la vulnerabilidad, publicando un análisis técnico el 30 de junio de 2025. Según Ahrens, el fallo surge de una combinación de dos problemas críticos:

  • Manejo inseguro de cadenas terminadas en null en C++

  • Desinfección inadecuada de entradas en scripts Lua

El resultado es que un byte nulo en el campo de nombre de usuario puede burlar la autenticación y facilitar la inyección de código Lua malicioso en los archivos de sesión del servidor FTP.

Cuando estos archivos se ejecutan posteriormente como parte del proceso legítimo del servidor, el código malicioso puede activarse, otorgando al atacante control total del sistema.

Explotación activa confirmada

La empresa de ciberseguridad Huntress ha documentado ataques reales utilizando esta vulnerabilidad. El 1 de julio, apenas 24 horas después de la divulgación pública de los detalles, un cliente de Huntress fue atacado.

Los piratas informáticos están explotando una falla crítica de RCE en el servidor FTP de Wing

Detalles del ataque observado:

  • El atacante envió solicitudes de inicio de sesión manipuladas, inyectando bytes nulos en el campo de nombre de usuario, apuntando a

    1
    loginok.html

    .

  • Esto generó archivos de sesión

    1
    .lua

    maliciosos, que contenían código Lua diseñado para ejecutar una carga útil hexadecimal decodificada mediante

    1
    cmd.exe

    .

  • Se utilizó certutil.exe para descargar malware desde una fuente remota, con el fin de ejecutarlo en el servidor comprometido.

Además, cinco direcciones IP distintas participaron en intentos de ataque a la misma instancia, lo que sugiere un posible escaneo masivo y explotación coordinada por múltiples actores de amenazas.

Otras vulnerabilidades reportadas en Wing FTP

Junto a CVE-2025-47812, Ahrens identificó tres vulnerabilidades adicionales en versiones 7.4.3 y anteriores:

  1. CVE-2025-27889

    • Permite la filtración de contraseñas a través de una URL manipulada en JavaScript.

  2. CVE-2025-47811

    • El servidor FTP se ejecuta como root/SYSTEM por defecto, sin mecanismos de aislamiento ni control de privilegios.

  3. CVE-2025-47813

    • Suministro de una cookie

      1
      UID

      excesivamente larga revela rutas internas del sistema de archivos.

Aunque todas las fallas son preocupantes, CVE-2025-47812 es la más crítica debido a su capacidad para permitir ejecución remota sin autenticación.

Actualización y solución: versión 7.4.4 de Wing FTP

El proveedor de Wing FTP lanzó una actualización de seguridad con la versión 7.4.4 el 14 de mayo de 2025, corrigiendo todas las vulnerabilidades mencionadas, excepto CVE-2025-47811, considerada de bajo impacto por no implicar un fallo técnico sino una mala práctica de configuración por defecto.

Se recomienda actualizar de inmediato a esta versión para mitigar riesgos.

Recomendaciones si no puedes actualizar

En caso de que una actualización inmediata no sea posible, los expertos de Huntress recomiendan las siguientes medidas de mitigación:

  • Deshabilitar el acceso HTTP/HTTPS al portal web de Wing FTP.

  • Bloquear el inicio de sesión anónimo.

  • Monitorear el directorio de sesiones en busca de archivos

    1
    .lua

    sospechosos o modificaciones no autorizadas.

  • Habilitar herramientas de detección y respuesta (EDR) para interceptar intentos de ejecución desde scripts maliciosos.

Además, es esencial verificar si hay actividad inusual, como la creación de nuevos usuarios, ejecución de comandos de reconocimiento (

1
whoami

,

1
ipconfig

,

1
netstat

) o uso de herramientas como cURL para exfiltración de datos.

Riesgos empresariales

La explotación de CVE-2025-47812 no solo compromete la confidencialidad e integridad de los datos, sino que puede permitir a un atacante:

  • Instalar malware persistente

  • Crear usuarios con privilegios administrativos

  • Exfiltrar información confidencial

  • Integrar el sistema en una botnet o red de minería

Dado que Wing FTP se utiliza ampliamente en infraestructuras empresariales para la gestión de archivos seguros, el impacto potencial de esta vulnerabilidad es significativo, especialmente si el servidor FTP está expuesto directamente a Internet.

Acción urgente requerida

CVE-2025-47812 representa una amenaza crítica y activa contra servidores Wing FTP no actualizados. La rapidez con la que se ha explotado esta falla demuestra que los actores maliciosos monitorean constantemente los informes técnicos para lanzar ataques casi inmediatos.

Actualizar a Wing FTP 7.4.4 es imprescindible, y en entornos donde esto no sea viable, deben implementarse medidas de mitigación de forma urgente.

El entorno de amenazas actual exige una postura proactiva de seguridad, con actualizaciones constantes, monitoreo continuo y segmentación de servicios sensibles.

Fuente: Bleeping Computer

0 Comentar
0
FacebookTwitterPinterestLinkedinEmail

You may also like

Redis corrige fallo crítico RCE descubierto por IA

HTTP/2 Bomb amenaza NGINX, Apache e IIS

Cisco corrige fallo crítico CVSS 10 en Secure...

Europa y EE. UU. desmantelan VPN usada por...

Microsoft corregirá fallo de contraseñas en Edge

Microsoft confirma ataques contra Exchange Server

Malware detectado en versiones npm de node-ipc

Cisco corrige fallo crítico SD-WAN explotado activamente

Microsoft corrige error de Office en Windows 365

Google descubre exploit zero-day creado con IA

Dejar Comentario

Guardar mi nombre y email para el próximo comentario

Click to listen highlighted text!