 Jul 11, 2025Ravie Lakshmanancer Attack / Vulnerabilidad Una falla de seguridad de máxima severidad revelada recientemente que impactó que el servidor FTP del ala se haya explotado activamente en la naturaleza, según Huntress. La vulnerabilidad, rastreada como CVE-2025-47812 (puntaje CVSS: 10.0), es un caso de manejo inadecuado de bytes nulos (‘\ 0’) en la interfaz web del servidor, que permite la ejecución de código remoto. Se ha abordado en la versión 7.4.4. «El usuario y la web administradora interfaces Mishandle ‘\ 0’ bytes, en última instancia, permitiendo la inyección de código LUA arbitrario en archivos de sesión de usuario», según un aviso para el defecto en cve.org. «Esto se puede utilizar para ejecutar comandos de sistema arbitrarios con los privilegios del servicio FTP (root o sistema de forma predeterminada)». Lo que lo hace aún más preocupante es que la falla se puede explotar a través de cuentas FTP anónimas. Un desglose integral de la vulnerabilidad ingresó al dominio público hacia fines de junio de 2025, cortesía del investigador de seguridad de RCE Julien Ahrens. La compañía de ciberseguridad Huntress dijo que observaba a los actores de amenaza que explotaban la falla para descargar y ejecutar archivos maliciosos de Lua, realizar reconocimientos e instalar software de monitoreo y gestión remota. «CVE-2025-47812 se deriva de cómo se manejan los bytes nulos en el parámetro de nombre de usuario (específicamente relacionado con el archivo Loginok.html, que maneja el proceso de autenticación)», dijeron los investigadores de Huntress. «Esto puede permitir a los atacantes remotos realizar la inyección de LUA después de usar el byte nulo en el parámetro de nombre de usuario». «Al aprovechar la inyección de byte nulo, el adversario interrumpe la entrada anticipada en el archivo LUA que almacena estas características de la sesión». La evidencia de explotación activa se observó por primera vez contra un solo cliente el 1 de julio de 2025, simplemente un día después de que se revelaron los detalles de la exploit. Al obtener acceso, se dice que los actores de amenaza han ejecutado comandos de enumeración y reconocimiento, crearon nuevos usuarios como una forma de persistencia y eliminaron los archivos LUA para soltar un instalador para Screenconnect. No hay evidencia de que el software de escritorio remoto se haya instalado realmente, ya que el ataque se detectó y se detuvo antes de que pudiera progresar más. Actualmente no está claro quién está detrás de la actividad. Los datos de Censys muestran que hay 8,103 dispositivos públicos accesibles que ejecutan un servidor FTP de ala, de los cuales 5.004 tienen su interfaz web expuesta. La mayoría de las instancias se encuentran en los Estados Unidos, China, Alemania, el Reino Unido e India. A la luz de la explotación activa, es esencial que los usuarios se muevan rápidamente para aplicar los últimos parches y actualizar sus versiones de servidor FTP Wing de 7.4.4 o posterior. ¿Encontró este artículo interesante? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.