Los Piratas comenzaron a explotar una vulnerabilidad crítica de la ejecución de código distante en el servidor de ala FTP un día después de que los detalles técnicos sobre el defecto se hicieron públicos.
El ataque observado llevó a cabo varias órdenes de enumeración y reconocimiento seguido del establecimiento de persistencia mediante la creación de nuevos usuarios.
La vulnerabilidad del servidor operado por ala FTP se sigue como CVE-2025-47812 y recibió el puntaje de gravedad más alto. Esta es una combinación de una inyección de código cero y LUA que permite a la distancia un atacante no autentizado ejecutar código con los privilegios más altos del sistema (raíz / sistema).
El servidor FTP Wing es una solución poderosa para administrar transferencias seguras de archivos que pueden ejecutar scripts Lua, que se usa ampliamente en entornos corporativos y SMB.
El 30 de junio, el investigador de seguridad Julien Ahrens publicó un Escritura técnica para CVE-2025-47812Explicando que la falla proviene de la manipulación peligrosa de las cuerdas de extremo cero en C ++ y una mala desinfección de las entradas en la LUA.
El investigador demostró cómo un byte cero en el nombre de usuario podría evitar las verificaciones de autenticación y activar la inyección del código LUA en los archivos de sesión.
Cuando el servidor ejecutan estos archivos, es posible alcanzar la ejecución del código arbitrario como root / sistema.
Con CVE-2025-47812, el investigador presentó otras tres fallas en el ala FTP:
- CVE-2025-27889 – le permite expulsar las contraseñas del usuario a través de una URL fabricada si el usuario envía un formulario de conexión, debido a la peligrosa inclusión de la contraseña en una variable JavaScript (ubicación)
- CVE-2025-47811 – Wing FTP funciona como una raíz / sistema predeterminada, sin caída en Sandbox o privilegio, lo que hace que RCE sea mucho más peligroso
- CVE-2025-47813 – El suministro de un UID de cookie demasiado largo revela rutas del sistema de archivos
Todas las fallas tienen un impacto en las versiones FTP de Wing 7.4.3 y anteriores. El vendedor resolvió los problemas publicando la versión 7.4.4 el 14 de mayo de 2025, con la excepción de CVE-2025-47811, que se consideró sin importancia.
Los investigadores de la amenaza de la plataforma de ciberseguridad administrada Huntress han creado un concepto de concepto para CVE-2025-47812 y se muestran en el video a continuación cómo los Piratas podrían aprovecharlo durante los ataques:
https://www.youtube.com/watch?v=ur79s5nlzss
Los investigadores de Huntress descubrieron que el 1 de julio, un día después de que aparecieron los detalles técnicos del CVE-2025-47812, al menos un atacante explotó la vulnerabilidad de uno de sus clientes.
El delantero envió solicitudes de conexión mal capacitadas con nombres de usuario inyectados de inyección nula, dirigida a “Loginok.html”. Estas entradas crearon archivos de malware .LUA que inyectaron el código LUA en el servidor.
El código inyectado ha sido diseñado para decodificar hexadecimal una carga útil y ejecutarla a través de cmd.exe, utilizando Certil para descargar malware desde una ubicación remota y ejecutarla.
Cazador dicho que el mismo cuerpo FTP del ala fue atacado por cinco direcciones IP distintas en un corto período de tiempo, lo que podría indicar los intentos de escaneo masivo y explotación de varios actores de amenazas.
Los órdenes observadas en estos intentos se refieren al reconocimiento, obteniendo persistencia en el entorno y la exfiltración de datos bucle Herramienta y punto de webhook.
El pirata falló el ataque “tal vez debido a su ignorancia con ellos, o porque Microsoft Defender detuvo parte de su ataque”, dijo Huntress. Sin embargo, los investigadores observaron una clara explotación de la vulnerabilidad crítica del servidor FTP del ala.
Incluso si Huntress ha observado ataques fallidos a sus clientes, es probable que los piratas informáticos busquen cuerpos FTP accesibles e intenten aprovechar los servidores vulnerables.
Se recomienda encarecidamente a las empresas que vayan a la versión 7.4.4 del producto lo antes posible.
Si la transición a una versión más reciente y segura no es posible, la recomendación de los investigadores es desactivar o restringir el acceso HTTP / HTTPS al ala del ala FTP, desactivar conexiones anónimas y monitorear el directorio de sesión para obtener adiciones sospechosas.
Si bien los ataques de nubes pueden volverse más sofisticados, los atacantes siempre tienen éxito con técnicas sorprendentemente simples.
Basado en las detecciones de Wiz en miles de organizaciones, este informe revela 8 técnicas clave utilizadas por los actores en amenazas de fluidos.