Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar

Probando el exploit: HackerHood prueba el exploit en el servidor WingFTP del CVE‑2025‑47812 con una puntuación de 10

Redazione RHC : 15 julio 2025 10:09

Esta herramienta está diseñada exclusivamente para fines educativos y de pruebas de penetración autorizados. El autor no asume ninguna responsabilidad por el mal uso o los daños causados por este software. Asegúrese siempre de contar con una autorización explícita por escrito antes de realizar cualquier prueba en un sistema.

En los últimos días, se ha informado a la comunidad de seguridad informática sobre una grave vulnerabilidad de ejecución remota de código (CVE-2025-47812) en el software WingFTP Server, ampliamente utilizado para ofrecer servicios FTP, FTPS y HTTP a miles de empresas.

El exploit para esta vulnerabilidad, que implica una manipulación grave de bytes nulos y la inyección de código Lua, fue probado por Manuel Roccon, miembro del grupo HackerHood de Red Hot Cyber, quien recientemente creó un subgrupo llamado Hackerhood Pwned, donde expertos en seguridad probarán los principales exploits publicados.

La vulnerabilidad CVE-2025-47812 (con CVSSv3=10.0) implica una falla en el manejo de cadenas terminadas en NULL en loginok.html, lo que permite a un atacante no autenticado inyectar código Lua arbitrario. Este exploit resultó ser muy fácil de ejecutar (3 en una escala del 1 al 10), lo que confirma la calificación BAJA del NIST.

Esta vulnerabilidad se debe a que el servidor FTP de Wing gestiona incorrectamente los bytes nulos en el parámetro de nombre de usuario durante el proceso de autenticación. Esto permite a los atacantes inyectar código Lua directamente en los archivos de sesión. Estos archivos de sesión maliciosos se ejecutan al cargar una sesión válida, lo que provoca la ejecución de comandos arbitrarios en el servidor.

Características clave de este exploit:

  • Ejecución remota de código: Ejecuta cualquier comando que elija en el servidor objetivo.
  • Privilegios raíz/del sistema: Suele obtener un RCE con los privilegios de sistema más altos debido a la configuración predeterminada del servidor FTP Wing.
  • Explotación de acceso anónimo: Puede explotarse incluso si solo se permite el acceso anónimo al servidor.
  • Análisis por lotes: Analiza múltiples objetivos proporcionando una lista de URL de un archivo.
  • Ejecución de comandos personalizados: Especifique y ejecute los comandos necesarios en el servidor vulnerable.

La CVE-2025-47812 es una vulnerabilidad crítica que resulta Debido a múltiples vulnerabilidades en la gestión de la autenticación de usuarios y las sesiones del servidor FTP Wing:

  1. Truncamiento de bytes nulos en c_CheckUser(): La función c_CheckUser(), responsable de la autenticación de usuarios, utiliza internamente strlen() el nombre de usuario proporcionado. Cuando se inyecta un byte nulo (%00) en el nombre de usuario (por ejemplo, anonymous%00...), strlen() trunca la cadena en ese punto. Esto significa que la autenticación se realiza correctamente para la parte del nombre de usuario anterior al byte NULL, omitiendo así la validación adecuada.
  2. Nombre de usuario completo al crear la sesión: A pesar del truncamiento de la autenticación, la llamada rawset(_SESSION, "username", username) dentro de loginok.html utiliza el nombre de usuario completo, sin sanear directamente desde los parámetros GET o POST. Esto incluye el byte NULL y todos los caracteres subsiguientes.
  3. Inyección de código Lua: Dado que los archivos de sesión se almacenan como scripts de Lua, inyectar código Lua después del byte NULL en el nombre de usuario (por ejemplo, anonymous%00]]%0dlocal+h+%3d+io.popen("id")%0dlocal+r+%3d+h%3aread("*a")%0dh%3aclose()%0dprint(r)%0d--) hace que este código malicioso se escriba directamente en el archivo de sesión.
  4. Ejecución del archivo de sesión: El La función SessionModule.load(), que se invoca al acceder a una funcionalidad autenticada (como /dir.html), ejecuta directamente el archivo de sesión mediante loadfile(filepath) seguido de f(). Este paso crucial activa el código Lua inyectado, lo que da lugar a la ejecución remota de código (RCE).

El grupo Hackerhood/pwned replicó la misma técnica en su laboratorio, creó una demostración visual del ataque y la publicó en línea. El vídeo muestra claramente la inyección de Lua, la descarga de la carga útil y la ejecución, que abre un shell con privilegios elevados. «Así es como un atacante no autenticado puede, en segundos, obtener el control total de un servidor WingFTP.»

Medidas urgentes sugeridas a las organizaciones:

AcciónDetalle
Actualización inmediataInstalar la versión 7.4.4 de Wing FTP Server (disponible a partir del 14 de mayo) 2025)
Deshabilitar el acceso anónimoEvitar el acceso FTP anónimo, especialmente a través de HTTP/HTTPS
Monitorización activaComprobar los archivos en session/*.lua y los registros en Domains/*/*.log en busca de rastros de inyecciones de Lua
Reglas de redRestringir el acceso HTTP/HTTPS solo a clientes autorizados
Administradores del sistemaHabilitar antivirus/EDR como Microsoft Defender y soluciones de detección de anomalías

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

Errores críticos en NVIDIA Triton permiten a los atacantes comprometer y robar el modelo de IA
Di Redazione RHC - 05/08/2025

Se han descubierto vulnerabilidades críticas en el servidor de inferencia Triton de NVIDIA, que amenazan la seguridad de la infraestructura de IA en Windows y Linux. Esta solución de có...

Exploit RCE de día cero y sin clics a la venta en iOS. Explora el mercado de ciberarmas para espionaje.
Di Redazione RHC - 01/08/2025

Una publicación en un foro en línea del 26 de julio de 2025 nos llamó la atención: un usuario llamado «Bucad» anunciaba la venta de un exploit de día cero para RCE d...

Microsoft enumera 40 empleos que desaparecerán gracias a la IA. Los empleos prácticos se mantienen.
Di Redazione RHC - 01/08/2025

Un nuevo estudio de Microsoft ofrece una perspectiva sorprendente (y perturbadora) sobre cómo la IA generativa está transformando la fuerza laboral global. Contrariamente a la creencia popul...

¡WhatsApp en la mira! En Pwn2Own Irlanda 2025, se otorgará un premio de 1 millón de dólares por un exploit RCE sin clics.
Di Redazione RHC - 01/08/2025

La Iniciativa de Día Cero (ZDI) de Trend Micro ha anunciado una recompensa digna de un corredor de día cero. Se ofrece una recompensa sin precedentes de 1.000.000 de dólares a quien des...

¿Qué es la codificación de vibraciones? Descubramos la nueva frontera de la programación.
Di Diego Corbi - 31/07/2025

«Necesito un sistema para gestionar los eventos de mi iglesia: voluntarios, registro, planificación de eventos comunitarios.». Dos semanas después de escribir esta propuesta, John ...