Ciberseguridad 360 | Vulnerabilidad crítica en Wing FTP Server

Un fallo de seguridad de m�xima gravedad recientemente revelado que afecta al servidor FTP Wing ha sido activamente explotado, seg�n Huntress

La vulnerabilidad, rastreada como CVE-2025-47812 (puntuaci�n CVSS: 10,0), es un caso de gesti�n incorrecta de bytes nulos (?\0?) en la interfaz web del servidor, lo que permite la ejecuci�n remota de c�digo. Se ha solucionado en la versi�n 7.4.4

"Las interfaces web de usuario y administrador manejan mal los bytes ?\0?, permitiendo en �ltima instancia la inyecci�n de c�digo Lua arbitrario en los archivos de sesi�n de usuario", seg�n un aviso sobre el fallo en CVE.org. "Esto se puede utilizar para ejecutar comandos arbitrarios del sistema con los privilegios del servicio FTP (root o SYSTEM por defecto)".

Lo que lo hace a�n m�s preocupante es que el fallo puede explotarse a trav�s de cuentas FTP an�nimas. A finales de junio de 2025, el investigador de RCE Security Julien Ahrens hizo p�blico un desglose exhaustivo de la vulnerabilidad.

La empresa de ciberseguridad Huntress dijo que hab�a observado a actores de amenazas que explotaban el fallo para descargar y ejecutar archivos Lua maliciosos, realizar reconocimientos e instalar software de supervisi�n y gesti�n remota.

"CVE-2025-47812 se deriva de c�mo se manejan los bytes nulos en el par�metro de nombre de usuario (espec�ficamente relacionado con el archivo loginok.html, que maneja el proceso de autenticaci�n)", dijeron los investigadores de Huntress. "Esto puede permitir a atacantes remotos realizar la inyecci�n de Lua despu�s de usar el byte nulo en el par�metro de nombre de usuario".

"Aprovechando la inyecci�n de bytes nulos, el adversario interrumpe la entrada prevista en el archivo Lua que almacena estas caracter�sticas de sesi�n".

Las pruebas de explotaci�n activa se observaron por primera vez contra un �nico cliente el 1 de julio de 2025, apenas un d�a despu�s de que se revelaran los detalles del exploit. Al obtener acceso, los autores de la amenaza habr�an ejecutado comandos de enumeraci�n y reconocimiento, creado nuevos usuarios como forma de persistencia y soltado archivos Lua para soltar un instalador de ScreenConnect.

No hay pruebas de que el software de escritorio remoto estuviera realmente instalado, ya que el ataque fue detectado y detenido antes de que pudiera avanzar m�s. Actualmente no est� claro qui�n est� detr�s de esta actividad.

Los datos de Censys muestran que hay 8.103 dispositivos de acceso p�blico que ejecutan Wing FTP Server, de los cuales 5.004 tienen su interfaz web expuesta. La mayor�a de las instancias se encuentran en Estados Unidos, China, Alemania, Reino Unido e India.

A la luz de la explotaci�n activa, es esencial que los usuarios se muevan r�pidamente para aplicar los �ltimos parches y actualizar sus versiones de Wing FTP Server de 7.4.4 o posterior.

Fuente: thehackernews.com