Una vulnerabilidad de seguridad de máxima gravedad recientemente divulgada en el servidor Wing FTP ha comenzado a ser explotada activamente, según Huntress. El fallo, registrado como CVE-2025-47812 (puntuación CVSS 10.0), se debe a un manejo inadecuado de los bytes nulos ('�') en la interfaz web del servidor, lo que permite la ejecución remota de código. Ha sido corregido en la versión 7.4.4.
"Las interfaces web de usuario y administrador manejan incorrectamente los bytes '�', lo que permite la inyección de código Lua arbitrario en los archivos de sesión del usuario", según un aviso sobre el fallo en CVE.org. "Esto puede usarse para ejecutar comandos arbitrarios del sistema con los privilegios del servicio FTP (root o SYSTEM por defecto)".
Lo que hace que esto sea aún más preocupante es que la falla puede explotarse a través de cuentas FTP anónimas. Un desglose completo de la vulnerabilidad entró en el dominio público a finales de junio de 2025, cortesía del investigador de RCE Security, Julien Ahrens.
La empresa de ciberseguridad Huntress dijo que observó a actores de amenazas explotando la falla para descargar y ejecutar archivos Lua maliciosos, realizar reconocimiento e instalar software de monitoreo y administración remota.
"CVE-2025-47812 se origina en cómo se manejan los bytes nulos en el parámetro de nombre de usuario (específicamente relacionado con el archivo loginok.html, que maneja el proceso de autenticación)", dijeron los investigadores de Huntress. "Esto puede permitir que atacantes remotos realicen inyección Lua después de usar el byte nulo en el parámetro de nombre de usuario".
La evidencia de explotación activa se observó por primera vez contra un solo cliente el 1 de julio de 2025, apenas un día después de que se divulgaran los detalles del exploit. Una vez obtenido el acceso, se dice que los actores de amenazas ejecutaron comandos de enumeración y reconocimiento, crearon nuevos usuarios como forma de persistencia y colocaron archivos Lua para instalar un instalador de ScreenConnect. No hay evidencia de que el software de escritorio remoto se haya instalado realmente, ya que el ataque fue detectado y detenido antes de que pudiera progresar. Actualmente no está claro quién está detrás de la actividad.
Los datos de Censys muestran que hay 8,103 dispositivos accesibles públicamente que ejecutan Wing FTP Server, de los cuales 5,004 tienen su interfaz web expuesta. La mayoría de las instancias se encuentran en EE. UU., China, Alemania, Reino Unido e India.
Ante la explotación activa, es esencial que los usuarios apliquen rápidamente los últimos parches y actualicen sus versiones de Wing FTP Server a 7.4.4 o posterior.
Actualización: La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), el 14 de julio de 2025, agregó CVE-2025-47812 a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV), requiriendo que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones antes del 4 de agosto de 2025.
Acerca del autor
