Los ciberdelincuentes están explotando activamente una vulnerabilidad crítica en Wing FTP Server que permite la ejecución remota de código con privilegios de administrador, apenas días después de que se hicieran públicos los detalles técnicos del fallo.
¿Qué es Wing FTP Server?
Wing FTP Server es una solución de transferencia de archivos segura y flexible que soporta múltiples protocolos, incluyendo FTP, FTPS, SFTP y HTTP/S. Funciona en Windows, Linux y macOS, proporcionando una interfaz web amigable tanto para administradores como para usuarios.
La vulnerabilidad CVE-2025-47812: Un fallo de máxima gravedad
La vulnerabilidad CVE-2025-47812 ha recibido una puntuación CVSS de 10 puntos (el máximo posible), lo que la clasifica como crítica. El fallo se origina por el manejo inadecuado de bytes nulos en el sistema.
Cómo funciona el ataque
Un atacante puede inyectar código malicioso en Lua en los archivos de sesión, lo que conduce a la ejecución remota de comandos con privilegios de root o sistema. Según el advisory de MITRE:
«En Wing FTP Server antes de la versión 7.4.4, las interfaces web de usuario y administrador manejan incorrectamente los bytes ‘\0’, permitiendo en última instancia la inyección de código Lua arbitrario en los archivos de sesión de usuario»
Escalada de privilegios extrema
Lo más preocupante es que el servidor ejecuta este código con privilegios de sistema completos:
- En Linux: como root
- En Windows: como NT AUTHORITY/SYSTEM
Esto ocurre porque Wing FTP Server funciona por defecto con privilegios elevados y carece de protecciones como reducción de privilegios, sandboxing o jailing.
Cronología de la explotación
30 de junio de 2025
Los investigadores de seguridad publicaron los detalles técnicos de la vulnerabilidad, incluyendo información sobre cómo explotarla.
1 de julio de 2025
Comenzaron los primeros intentos de explotación por parte de ciberdelincuentes, apenas un día después de la publicación de los detalles.
10 de julio de 2025
Los investigadores de Huntress confirmaron la explotación activa de la vulnerabilidad, documentando ataques reales en el entorno.
Métodos de explotación observados
Los investigadores de Arctic Wolf han identificado que los atacantes están utilizando esta vulnerabilidad para:
- Descargar y ejecutar archivos maliciosos
- Realizar reconocimiento de sistemas objetivo
- Instalar software de monitoreo remoto
- Potencialmente preparar el terreno para ransomware
Requisitos de autenticación
Aunque se requiere autenticación para explotar la vulnerabilidad, los atacantes pueden usar:
- Credenciales conocidas obtenidas previamente
- Cuentas FTP anónimas (si están habilitadas, aunque están desactivadas por defecto)
Impacto y alcance
La vulnerabilidad afecta a todas las versiones de Wing FTP Server anteriores a la 7.4.4. Los expertos advierten que la disponibilidad de código de prueba de concepto (PoC) garantiza futuros intentos de explotación.
Técnica de ataque
Los ciberdelincuentes insertan un conjunto especial de caracteres en el nombre de usuario durante el login, eludiendo el procesamiento de cadenas. Este fallo permite inyectar código Lua arbitrario que se ejecuta al visitar páginas específicas de la aplicación.
Recomendaciones de seguridad
Actualización inmediata
Arctic Wolf urge a los usuarios a actualizar inmediatamente a la versión 7.4.4 o posterior del servidor, ya que es la única forma de mitigar completamente esta vulnerabilidad.
Medidas adicionales
- Deshabilitar cuentas FTP anónimas si están habilitadas
- Implementar monitoreo de actividad sospechosa en los servidores
- Revisar logs en busca de patrones de ataque desde el 1 de julio
Contexto de amenaza
Este incidente ilustra un patrón preocupante en el que los ciberdelincuentes explotan rápidamente las vulnerabilidades una vez que se publican los detalles técnicos. Arctic Wolf ha observado actividad similar en el pasado, donde vulnerabilidades recién divulgadas fueron explotadas en dispositivos perimetrales para robar datos sensibles y potencialmente desplegar ransomware.
La velocidad de explotación – apenas 24 horas después de la publicación de los detalles – subraya la importancia de aplicar parches de seguridad de manera inmediata en entornos empresariales.
