Los investigadores de seguridad han confirmado la explotación activa de una vulnerabilidad crítica en el servidor FTP de ala, solo un día después de que los detalles técnicos se revelaron públicamente.
El defecto, rastreado como CVE-2025-47812, ha recibido la puntuación CVSS máxima de 10.0 y permite la ejecución de código remoto no autenticado con privilegios root o del sistema.
La vulnerabilidad fue revelada por primera vez por el investigador de seguridad Julien Ahrens el 30 de junio de 2025, luego de una divulgación responsable al Wing FTP que resultó en que la versión 7.4.4 se lanzara el 14 de mayo de 2025.
Sin embargo, los intentos de explotación comenzaron inmediatamente después de que la redacción técnica se hizo pública, y los investigadores de seguridad de Huntress observaron los primeros ataques el 1 de julio de 2025.
CVE-2025-47812 proviene del manejo inadecuado de bytes nulos en la interfaz web del servidor FTP FTP, específicamente en el punto final loginok.html que procesa las solicitudes de autenticación.
La vulnerabilidad combina una falla de inyección de bytes nulo con inyección de código LUA, lo que permite a los atacantes omitir las verificaciones de autenticación e inyectar comandos arbitrarios en los archivos de sesión del servidor.
El ataque comienza con una solicitud POST HTTP malformada a Loginok.html que contiene un parámetro de nombre de usuario especialmente elaborado. Al insertar un byte nulo (%00) seguido del código LUA, los atacantes pueden manipular el proceso de creación de sesión del servidor.
Cuando el servidor procesa estos archivos de sesión corruptos, el código LUA inyectado se ejecuta con privilegios elevados, otorgando a los atacantes el control completo del sistema.
Los investigadores de seguridad de Huntress crearon una exploit de prueba de concepto que demuestra cómo se puede aprovechar la vulnerabilidad para lograr la ejecución de código arbitraria como root en los sistemas o el sistema Linux en Windows.
El ataque es particularmente peligroso porque se puede ejecutar a través de cuentas FTP anónimas, que están deshabilitadas de forma predeterminada pero pueden habilitarse en algunas configuraciones.
Exposición generalizada en Internet
Según los datos de Censys, aproximadamente 8,103 dispositivos de acceso público están ejecutando el servidor FTP Wing en todo el mundo, con 5.004 de estos sistemas que exponen sus interfaces web a Internet.
La Fundación Shadowserver ha identificado alrededor de 2,000 IP que ejecutan instancias de servidor FTP de ala expuesta, aunque no se han realizado verificaciones de vulnerabilidad específicas en todos los sistemas identificados.
Resultados de la Fundación Shadowserver
La distribución geográfica muestra las concentraciones más altas de sistemas potencialmente vulnerables en los Estados Unidos, China, Alemania, el Reino Unido e India.
Las organizaciones que utilizan el servidor FTP de ala para operaciones de transferencia de archivos incluyen grandes corporaciones como Airbus, Reuters y la Fuerza Aérea de los Estados Unidos, lo que indica el potencial de un impacto significativo en los sectores de infraestructura crítica.
Actividad de ataque observada
Investigadores de cazadores documentado Explotación activa a partir del 1 de julio de 2025, con los actores de amenaza dirigidos a la instalación del servidor FTP de ala de un cliente.
El ataque incluyó cinco direcciones IP distintas que intentaron comprometer el mismo sistema dentro de un corto plazo de tiempo, lo que sugiere esfuerzos de escaneo y explotación coordinados.
La secuencia de ataque observada incluyó:
Reconocimiento inicial utilizando comandos como la enumeración del sistema IPCONFIG, ARP -A y el sistema NS Plookup a través de Whoami, usuarios netos y PowerShell Scripts Creación de nuevas cuentas de usuarios para los intentos de persistencia de descargar y ejecutar malware remoto utilizando esfuerzos Certutil y Curl para instalar herramientas de acceso remoto, incluida la pantalla de pantalla ScreenConexión
Si bien el ataque específico falló, probablemente debido a la intervención del defensor de Microsoft o la inexperiencia del atacante, el incidente demuestra la explotación activa de la vulnerabilidad en la naturaleza.
Servidor FTP del ala versión 7.4.4, liberado 14 de mayo de 2025, se dirige a CVE-2025-47812 junto con otras dos vulnerabilidades de seguridad (CVE-2025-47813 y un problema de divulgación de ruta). Según los informes, el proveedor contactó a los clientes por correo electrónico con orientación de actualización después de la divulgación de la explotación activa.
Para las organizaciones que no pueden actualizar de inmediato, los investigadores de seguridad recomiendan implementar medidas de protección provisionales que incluyan:
Desactivar o restringir el acceso HTTP/HTTPS al portal web de Wing FTP Deshabilitar la funcionalidad de inicio de sesión anónima Directorios de sesiones de monitoreo para los archivos .lua que implementan la segmentación de red para limitar la exposición
La vulnerabilidad afecta a todos los principales sistemas operativos compatibles con Wing FTP Server, incluidos Windows, Linux y MacOS. Dada la implementación generalizada del software en entornos empresariales para operaciones seguras de transferencia de archivos, la comunidad de seguridad ha emitido recomendaciones urgentes para parches inmediatos.
Las organizaciones que operan las instalaciones del servidor FTP del ala FTP deben priorizar la actualización a la versión 7.4.4 o posterior, realizar evaluaciones de seguridad exhaustivas de su infraestructura de transferencia de archivos e implementar un monitoreo adicional para detectar posibles indicadores de compromiso.
La combinación de calificación de gravedad máxima, explotación activa y exposición generalizada en Internet hace que esta vulnerabilidad sea una amenaza significativa para la postura de seguridad organizacional.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
