Redazione RHC : 12 julio 2025 18:12
Investigadores de Huntress han detectado la explotación activa de una vulnerabilidad crítica en el servidor FTP de Wing, tan solo un día después de su divulgación pública. A la vulnerabilidad CVE-2025-47812 se le ha asignado la máxima gravedad (CVSS 10.0), ya que permite la ejecución remota de código arbitrario en un servidor vulnerable. El problema fue descubierto e informado por especialistas de RCE Security, pero no publicaron los detalles técnicos hasta el 30 de junio, más de un mes después del lanzamiento del parche.
Wing FTP Server es una popular solución de transferencia de archivos multiplataforma compatible con los protocolos FTP, FTPS, SFTP y HTTP/S. Según sus desarrolladores, el programa es utilizado por más de 10 000 clientes en todo el mundo, entre ellos Airbus, Reuters y la Fuerza Aérea de EE. UU. La vulnerabilidad afecta al mecanismo de gestión de nombres de usuario en la interfaz web de Wing FTP. Cuando se pasa un nombre de usuario que contiene un byte nulo ( ), todo lo que sigue se interpreta como código Lua. Este código se guarda en el archivo de sesión y se ejecuta durante la deserialización, lo que permite a un atacante obtener el control total del servidor.
Según Huntress, los primeros ataques comenzaron el 1 de julio, menos de 24 horas después de que se revelara la vulnerabilidad. Los atacantes se basaron claramente en información técnica publicada. Inicialmente, los investigadores registraron tres conexiones al servidor de la víctima, tras lo cual surgió un cuarto atacante que escaneó activamente el sistema de archivos, creó nuevos usuarios e intentó infiltrarse en el sistema. Sin embargo, sus acciones revelaron un bajo nivel de preparación: los comandos contenían errores, PowerShell se bloqueó y el intento de descargar un troyano falló; el archivo fue interceptado por Microsoft Defender. El análisis de registros mostró que, en un momento dado, el atacante incluso intentó buscar en internet cómo usar la utilidad curl y, presumiblemente, solicitó ayuda: un quinto participante se conectó al servidor.
Tras varios intentos fallidos, el atacante intentó subir un archivo malicioso, pero el servidor se bloqueó poco después y la organización lo puso en cuarentena, impidiendo cualquier acción posterior. A pesar de la ineficacia del ataque, Huntress advierte que la vulnerabilidad CVE-2025-47812 se explota activamente y representa una amenaza real. Los investigadores recomiendan encarecidamente que todos los usuarios de Wing FTP actualicen a la versión 7.4.4, que contiene la corrección.
El incidente también puso de manifiesto las vulnerabilidades de los protocolos heredados. El FTP se creó en la década de 1970, y la seguridad no era una prioridad en aquel entonces. Aunque Wing FTP admite protocolos más seguros como SFTP y MFT, estos solo están disponibles en versiones comerciales. Muchos proyectos modernos como Chrome, Firefox y Debian abandonaron hace tiempo la compatibilidad con FTP, lo que refleja un cambio general en la actitud hacia el protocolo en los círculos profesionales.
RedazioneLa Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
LockBit representa una de las bandas de ransomware más longevas y mejor estructuradas de los últimos años, con un modelo de ransomware como servicio (RaaS) que ha impactado profundamente el ecosist...
