Home Tecnología Vulnerabilidad del servidor FTP de ala Deja que los atacantes tomen el...

Vulnerabilidad del servidor FTP de ala Deja que los atacantes tomen el control completo del servidor

9
0

A una vulnerabilidad crítica recientemente revelada en el servidor FTP de ala se le ha asignado CVE-2025-47812 con una puntuación CVSSV4 máxima de 10.0, lo que permite a los atacantes no autorenticados lograr un control completo del servidor.

La vulnerabilidad, descubierta por el investigador de seguridad Julien Ahrens de RCE Security, afecta a todas las versiones del servidor FTP de Wing hasta la versión 7.4.3.

Control de llave
1. CVE-2025-47812, vulnerabilidad crítica de RCE en el servidor FTP de ala ≤7.4.3 a través de la inyección de bytes nulo en /loginok.html de finalización.
2. Complete la adquisición del servidor con privilegios de raíz/sistema; puntaje máximo de CVSSV4 de 10.0.
3. Actualización a la versión 7.4.4 inmediatamente; Revise las configuraciones de acceso anónimo.

Este fallas de ejecución de código remoto (RCE) explota el manejo inadecuado de bytes nulos en el mecanismo de autenticación del servidor, lo que permite a los atacantes inyectar código Lua arbitrario y ejecutar comandos del sistema con privilegios elevados.


Vulnerabilidad de inyección de código

La vulnerabilidad reside en el punto final /loginok.html, que no puede desinfectar correctamente bytes nulos al procesar el parámetro de nombre de usuario.

Esta debilidad de inyección de código CWE-94 permite a los atacantes salir del contexto de parámetros previsto e inyectar código LUA malicioso en archivos de sesión de usuario.

El mecanismo de explotación aprovecha el motor de secuencias de comandos LUA del servidor, que el servidor FTP de ala utiliza internamente para varias operaciones.

La carga útil de prueba de concepto demuestra la gravedad de esta vulnerabilidad:

Esta carga útil explota el byte nulo (%00) para terminar la cadena del nombre de usuario prematuramente, seguido de código LUA que ejecuta comandos del sistema a través de io.popen ().

El código inyectado puede ejecutar comandos de sistema operativo arbitrario, incluida la ID en este ejemplo, que devuelve información del usuario sobre sistemas similares a UNIX.

El impacto de la vulnerabilidad es particularmente severo porque el servidor FTP de ala generalmente se ejecuta con privilegios elevados, como root en los sistemas Linux y la autoridad/sistema NT en las plataformas de Windows.

Esto significa que la explotación exitosa otorga a los atacantes el control administrativo completo sobre el servidor afectado, no solo el servicio FTP en sí.

El vector de ataque es especialmente peligroso para los servidores configurados para permitir el acceso FTP anónimo, ya que proporciona una ruta completamente no autenticada para el compromiso del sistema.

Factores de riesgo El servidor FTP de productos de productos afectados por DetailSepsole de la ejecución del código de IMPACTRemote (RCE) Explote el acceso previo a los requisitos previos a /loginok.html, el acceso a la red a la puntuación del servidor de destino 3.1 score10.0 (crítico)

Requerido remediación inmediata

Las organizaciones que ejecutan el servidor FTP Wing deben actualizarse inmediatamente a la versión 7.4.4, que se lanzó el 14 de mayo de 2025, específicamente para abordar esta vulnerabilidad.

El proveedor, equipo de servidor FTP de ala, admitido El problema como un error crítico e implementó una validación de entrada adecuada para evitar ataques de inyección de bytes nulos.

La vulnerabilidad se reveló responsablemente después de una línea de tiempo coordinada, y el proveedor confirma el problema a las pocas horas de la notificación y liberó un parche solo cuatro días después.

Los administradores del sistema deben priorizar esta actualización dada la puntuación CVSS máxima de la vulnerabilidad y el potencial de compromiso completo del sistema.

Además, las organizaciones deben revisar sus configuraciones de servidor FTP y considerar implementar protecciones a nivel de red, como firewalls y sistemas de detección de intrusiones, para monitorear los intentos de explotación que se dirigen a esta vulnerabilidad.

Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.

Fuente de noticias