Una nueva investigación revela primitivas de explotación en .NET Framework que podrían aprovecharse en aplicaciones de nivel empresarial para permitir la ejecución remota de código.
WatchTowr Labs, que nombró en código SOAPwn a la «vulnerabilidad de transmisión no válida», dijo que el problema afecta a Barracuda Service Center RMM, Ivanti Endpoint Manager (EPM) y Umbraco 8. Sin embargo, dada la popularidad de .NET, la cantidad de proveedores afectados probablemente será a largo plazo.
Los hallazgos fueron anunciados hoy por el investigador de seguridad de WatchTowr, Piotr Bazydlo, en la conferencia de seguridad Black Hat Europe en Londres.
Básicamente, SOAPwn permite a los atacantes ejecutar código arbitrario en productos creados sobre la base de .NET abusando de las importaciones del lenguaje de descripción de servicios web (WSDL) y de los servidores proxy de clientes HTTP debido a errores en la forma en que se manejan los mensajes del protocolo simple de acceso a objetos (SOAP).
«Por lo general, se puede explotar a través de un cliente SOAP, especialmente si se crea dinámicamente a partir de un WSDL controlado por un atacante», dijo Bazydlo.
Como resultado, el proxy del cliente HTTP de .NET Framework se puede manipular para utilizar el controlador del sistema de archivos y pasar algo como «file://» como URL al proxy del cliente SOAP para escribir un archivo arbitrario, lo que en última instancia puede conducir a la ejecución del código. Peor aún, dado que el atacante controla la ruta de escritura completa, podría usarse para sobrescribir archivos existentes.
En un escenario de ataque hipotético, un atacante podría aprovechar este comportamiento para proporcionar una ruta de Convención de nomenclatura universal (UNC) (por ejemplo, «file://attacker.server/poc/poc») y se escribiría una solicitud SOAP en un recurso compartido SMB bajo su control. Esto permite a un atacante capturar y descifrar desafíos NTLM.
Eso no es todo. Esta investigación también encontró que las aplicaciones que utilizan la clase ServiceDescriptionImporter para generar servidores proxy de cliente HTTP a partir de archivos WSDL pueden tener un vector de explotación más potente que puede utilizarse como arma aprovechando el hecho de que las URL utilizadas en los servidores proxy de cliente HTTP generados no están validadas.
Esta técnica permite a un atacante ejecutar código remoto proporcionando a una aplicación vulnerable una URL que apunta a un archivo WSDL que administra y soltando un shell web ASPX completamente funcional o una carga útil adicional, como un shell web CSHTML o un script PowerShell.
Después de revelaciones responsables en marzo de 2024 y julio de 2025, Microsoft decidió no solucionar la vulnerabilidad, afirmando que el problema se debía a un problema o comportamiento en la aplicación y que «los usuarios no deben utilizar entradas que no sean de confianza y que puedan generar y ejecutar código».
Este hallazgo indica que el comportamiento esperado en marcos comunes puede ser una ruta potencial de explotación que conduzca a la retransmisión NTLM y escrituras de archivos arbitrarias. Desde entonces, este problema se resolvió en Barracuda Service Center RMM versión 2025.1.1 (CVE-2025-34392, puntuación CVSS: 9,8) y Ivanti EPM versión 2024 SU4 SR1 (CVE-2025-13659, puntuación CVSS: 8,8).
«En lugar de enviar solicitudes SOAP a través de HTTP, es posible escribirlas en un archivo en un proxy SOAP», dijo Bazydlo. «Esto a menudo resulta en la ejecución remota de código a través de cargas de WebShell o cargas de scripts de PowerShell. El impacto exacto depende de la aplicación que utiliza la clase de proxy».
Source link
