Según Huntress, el defecto de seguridad revelado más reciente que afecta a los servidores FTP de ala está sujeto a una explotación agresiva en la naturaleza.
La vulnerabilidad rastreada como CVE-2025-47812 (puntaje CVSS: 10.0) es un caso de manejo inadecuado de bytes nulos (‘\ 0’) en la interfaz web del servidor, lo que permite la ejecución del código remoto. Dirigido en la versión 7.4.4.
Según el asesor de fallas cve.org, «la interfaz web del usuario y el administrador puede explorar» \ 0 «bytes y, en última instancia, inyectar cualquier código LUA en el archivo de sesión del usuario». «Esto se puede usar para ejecutar cualquier comando del sistema utilizando privilegios en el servicio FTP (root o sistema de forma predeterminada)».
Lo que es aún más preocupante es que los defectos pueden explotarse a través de cuentas FTP anónimas. Un desglose integral de las vulnerabilidades estuvo en el dominio público hasta finales de junio de 2025, cortesía del investigador de seguridad de RCE Julien Arlens.
La compañía de ciberseguridad Huntress dijo que se ha observado que los actores de amenaza descargan y ejecutan archivos maliciosos de Lua, realizan reconocimiento y explotan los defectos para instalar software de monitoreo y administración remota.
«CVE-2025-47812 se debe a cómo se manejan nullbytes en los parámetros del nombre de usuario (particularmente relacionado con el archivo loginok.html que maneja el proceso de autenticación)», dijeron los investigadores de Huntress. «Esto permite a los atacantes remotos realizar la inyección de LUA después de usar bytes nulos en el parámetro de nombre de usuario».
«Al utilizar la inyección de Nullbyte, el enemigo confunde el aporte esperado del archivo LUA que almacena estas características de la sesión».
La evidencia de explotación agresiva se observó por primera vez el 1 de julio de 2025 contra un solo cliente. Al obtener acceso, el actor de amenaza realizó comandos de enumeración y reconocimiento, creó un nuevo usuario como una forma de persistencia, dejó caer el archivo Lua y dejó caer el instalador para Screenconnect.
No hay evidencia de que el software de escritorio remoto se haya instalado realmente, ya que el ataque se detectó y se detuvo antes de que el ataque progresara aún más. No está claro quién está detrás de la actividad en este momento.
Según los datos de Censys, hay 8,103 dispositivos de acceso público que ejecutan un servidor FTP de ala, de los cuales 5,004 exponen la interfaz web. La mayoría de las instancias se encuentran en los Estados Unidos, China, Alemania, el Reino Unido e India.
A la luz de la explotación activa, es esencial que los usuarios apliquen los últimos parches y se muevan rápidamente para actualizar las versiones del servidor FTP del ala de 7.4.4 o posterior.
Source link
