Cibercriminales están infiltrándose en servidores esenciales de grandes empresas, y solo se necesita una línea de código.
Atención a los usuarios de Wing FTP: se ha identificado una nueva vulnerabilidad de ejecución remota de código (RCE) que permite a los atacantes obtener acceso de administrador.
Investigadores de seguridad han confirmado que una grave vulnerabilidad en el Wing FTP Server está siendo activamente explotada por atacantes. Este software, empleado para gestionar transferencias de archivos, está en uso por más de 10,000 organizaciones a nivel mundial, incluyendo clientes destacados como Airbus, Reuters y la Fuerza Aérea de los EE. UU. La debilidad, conocida como CVE-2025-47812, fue revelada públicamente el 30 de junio, y la explotación comenzó al día siguiente.
La vulnerabilidad permite la ejecución remota de código (RCE) sin necesidad de autenticación, lo que otorga a los atacantes la capacidad de ejecutar comandos con privilegios de root o SYSTEM en servidores vulnerables. Aunque se lanzó un parche en la versión 7.4.4 el 14 de mayo de 2025, muchas instalaciones continuaron siendo vulnerables, a pesar de que la solución había estado disponible durante más de un mes antes de la divulgación técnica.
El problema se debe a una sanitización inadecuada de las entradas y un manejo inseguro de cadenas terminadas en nulo. Esto permite que un byte nulo inyectado en el campo de nombre de usuario eluda la autenticación e inserte código Lua malicioso en los archivos de sesión. Cuando estos archivos son deserializados por el servidor, se activa la ejecución de código en el nivel más alto del sistema.
En uno de los ataques, un atacante logró crear archivos de sesión maliciosos que utilizaron certutil y cmd.exe para recuperar y ejecutar cargas útiles remotas. Aunque el ataque fue en última instancia frustrado, en parte gracias a Microsoft Defender, los investigadores señalaron que los intrusos intentaron escalar privilegios, realizar investigaciones, y crear nuevos usuarios para mantener su persistencia. Otro atacante, sorprendentemente, necesitó buscar cómo utilizar curl durante el ataque, y uno de ellos involucró a una segunda parte. Esto evidencia la persistencia de los atacantes, que probablemente están escaneando para encontrar instancias expuestas del Wing FTP Server, incluyendo aquellas con versiones desactualizadas.
A pesar de que algunos atacantes carecen de sofisticación, la vulnerabilidad sigue siendo extremadamente peligrosa. Se recomienda a los usuarios actualizarse a la versión 7.4.4 lo antes posible. Donde las actualizaciones no sean viables, se aconseja deshabilitar el acceso HTTP/S, eliminar las opciones de inicio de sesión anónimo y monitorear los directorios de archivos de sesión como etapas esenciales de mitigación.
Se han reportado tres vulnerabilidades adicionales: una que permite la exfiltración de contraseñas a través de JavaScript, otra que expone rutas del sistema mediante cookies excesivamente largas, y una tercera que destaca la falta de sandboxing del servidor. Aunque todas representan riesgos importantes, la CVE-2025-47812 ha recibido la máxima calificación de severidad debido a su potencial para comprometer completamente el sistema.
