Según Huntress, una rotura de seguridad de máxima severidad recientemente revelada que afecta al servidor FTP del ala ha sido objeto de una explotación activa en la naturaleza.
La vulnerabilidad, rastreada como CVE-2025-47812 (puntaje CVSS: 10.0), es un caso de manejo inadecuado de bytes nulos (‘ 0’) en la interfaz web del servidor, que permite la ejecución de código remoto. Se ha abordado en la lectura 7.4.4.
“El afortunado y la web administradora interfaces Mishandle ‘ 0’ bytes, en última instancia, permitiendo la inyección de código LUA improcedente en archivos de sesión de afortunado”, según un aviso para el defecto en cve.org. “Esto se puede utilizar para ejecutar comandos de sistema arbitrarios con los privilegios del servicio FTP (root o sistema de forma predeterminada)”.
Lo que lo hace aún más preocupante es que la rotura se puede explotar a través de cuentas FTP anónimas. Un desglose integral de la vulnerabilidad ingresó al dominio divulgado en torno a fines de junio de 2025, cortesía del investigador de seguridad de RCE Julien Ahrens.
La compañía de ciberseguridad Huntress dijo que observaba a los actores de amenaza que explotaban la rotura para descargar y ejecutar archivos maliciosos de Lua, realizar reconocimientos e instalar software de monitoreo y diligencia remota.
“CVE-2025-47812 se deriva de cómo se manejan los bytes nulos en el parámetro de nombre de afortunado (específicamente relacionado con el archivo Loginok.html, que maneja el proceso de autenticación)”, dijeron los investigadores de Huntress. “Esto puede permitir a los atacantes remotos realizar la inyección de LUA posteriormente de usar el byte incompetente en el parámetro de nombre de afortunado”.
https://www.youtube.com/watch?v=ur79s5nlzss
“Al disfrutar la inyección de byte incompetente, el adversario interrumpe la entrada anticipada en el archivo LUA que almacena estas características de la sesión”.
La evidencia de explotación activa se observó por primera vez contra un solo cliente el 1 de julio de 2025, simplemente un día posteriormente de que se revelaron los detalles de la exploit. Al obtener comunicación, se dice que los actores de amenaza han ejecutado comandos de enumeración y agradecimiento, crearon nuevos usuarios como una forma de persistencia y eliminaron los archivos LUA para soltar un instalador para Screenconnect.
No hay evidencia de que el software de escritorio remoto se haya instalado verdaderamente, ya que el ataque se detectó y se detuvo antaño de que pudiera progresar más. Actualmente no está claro quién está detrás de la actividad.
Los datos de Censys muestran que hay 8,103 dispositivos públicos accesibles que ejecutan un servidor FTP de ala, de los cuales 5.004 tienen su interfaz web expuesta. La mayoría de las instancias se encuentran en los Estados Unidos, China, Alemania, el Reino Unido e India.
A la luz de la explotación activa, es esencial que los usuarios se muevan rápidamente para aplicar los últimos parches y refrescar sus versiones de servidor FTP Wing de 7.4.4 o posterior.
