Redazione RHC : 15 julio 2025 10:09
Esta herramienta está diseñada exclusivamente para fines educativos y de pruebas de penetración autorizados. El autor no asume ninguna responsabilidad por el mal uso o los daños causados por este software. Asegúrese siempre de contar con una autorización explícita por escrito antes de realizar cualquier prueba en un sistema.
En los últimos días, se ha informado a la comunidad de seguridad informática sobre una grave vulnerabilidad de ejecución remota de código (CVE-2025-47812) en el software WingFTP Server, ampliamente utilizado para ofrecer servicios FTP, FTPS y HTTP a miles de empresas.
El exploit para esta vulnerabilidad, que implica una manipulación grave de bytes nulos y la inyección de código Lua, fue probado por Manuel Roccon, miembro del grupo HackerHood de Red Hot Cyber, quien recientemente creó un subgrupo llamado Hackerhood Pwned, donde expertos en seguridad probarán los principales exploits publicados.
La vulnerabilidad CVE-2025-47812 (con CVSSv3=10.0) implica una falla en el manejo de cadenas terminadas en NULL en loginok.html, lo que permite a un atacante no autenticado inyectar código Lua arbitrario. Este exploit resultó ser muy fácil de ejecutar (3 en una escala del 1 al 10), lo que confirma la calificación BAJA del NIST.
Esta vulnerabilidad se debe a que el servidor FTP de Wing gestiona incorrectamente los bytes nulos en el parámetro de nombre de usuario durante el proceso de autenticación. Esto permite a los atacantes inyectar código Lua directamente en los archivos de sesión. Estos archivos de sesión maliciosos se ejecutan al cargar una sesión válida, lo que provoca la ejecución de comandos arbitrarios en el servidor.
Características clave de este exploit:
La CVE-2025-47812 es una vulnerabilidad crítica que resulta Debido a múltiples vulnerabilidades en la gestión de la autenticación de usuarios y las sesiones del servidor FTP Wing:
c_CheckUser()
: La función c_CheckUser()
, responsable de la autenticación de usuarios, utiliza internamente strlen()
el nombre de usuario proporcionado. Cuando se inyecta un byte nulo (%00
) en el nombre de usuario (por ejemplo, anonymous%00...
), strlen()
trunca la cadena en ese punto. Esto significa que la autenticación se realiza correctamente para la parte del nombre de usuario anterior al byte NULL, omitiendo así la validación adecuada.rawset(_SESSION, "username", username)
dentro de loginok.html
utiliza el nombre de usuario completo, sin sanear directamente desde los parámetros GET o POST. Esto incluye el byte NULL y todos los caracteres subsiguientes.anonymous%00]]%0dlocal+h+%3d+io.popen("id")%0dlocal+r+%3d+h%3aread("*a")%0dh%3aclose()%0dprint(r)%0d--
) hace que este código malicioso se escriba directamente en el archivo de sesión.SessionModule.load()
, que se invoca al acceder a una funcionalidad autenticada (como /dir.html
), ejecuta directamente el archivo de sesión mediante loadfile(filepath)
seguido de f()
. Este paso crucial activa el código Lua inyectado, lo que da lugar a la ejecución remota de código (RCE).El grupo Hackerhood/pwned replicó la misma técnica en su laboratorio, creó una demostración visual del ataque y la publicó en línea. El vídeo muestra claramente la inyección de Lua, la descarga de la carga útil y la ejecución, que abre un shell con privilegios elevados. «Así es como un atacante no autenticado puede, en segundos, obtener el control total de un servidor WingFTP.»
Medidas urgentes sugeridas a las organizaciones:
Acción Detalle Actualización inmediata Instalar la versión 7.4.4 de Wing FTP Server (disponible a partir del 14 de mayo) 2025) Deshabilitar el acceso anónimo Evitar el acceso FTP anónimo, especialmente a través de HTTP/HTTPS Monitorización activa Comprobar los archivos en session/*.lua
y los registros enDomains/*/*.log
en busca de rastros de inyecciones de LuaReglas de red Restringir el acceso HTTP/HTTPS solo a clientes autorizados Administradores del sistema Habilitar antivirus/EDR como Microsoft Defender y soluciones de detección de anomalías
Mientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la apari...
Martes de parches de agosto: Microsoft publica actualizaciones de seguridad que corrigen 107 vulnerabilidades en los productos de su ecosistema. La actualización incluye correcciones para 90 vuln...
Como parte de las actualizaciones de seguridad del martes de parches de agosto de 2025, se ha corregido una vulnerabilidad crítica de ejecución remota de código (RCE) en el software de ...
29 000 servidores Exchange son vulnerables a la vulnerabilidad CVE-2025-53786, que permite a los atacantes acceder a entornos de nube de Microsoft, lo que podría comprometer por completo el ...
«El sistema de defensa militar Skynet entrará en funcionamiento el 4 de agosto de 1997. Comenzará a autoeducarse, aprendiendo a un ritmo exponencial, y adquirirá consciencia de s&#...