Creían que era una filtración menor; resultó ser la llave del hackeo: un 0-day en Wing FTP ofrece a los hackers un mapa con los archivos para robar.
CISA añade una vulnerabilidad a su lista de fallos explotados — y eso es una muy mala noticia
CISA advirtió a las agencias federales de EE. UU. sobre los ataques continuos contra Wing FTP Server. El foco no fue la vulnerabilidad más destacada de ese conjunto, sino CVE-2025-47813 - un fallo de divulgación de información de servicio que ayuda a los atacantes a apuntar con mayor precisión al servidor y que, según los investigadores, podría usarse junto con la ya conocida vulnerabilidad de ejecución remota de código. La agencia incluyó el problema en el catálogo KEV, es decir, en la lista de vulnerabilidades que ya se están explotando en la práctica.
Wing FTP Server es un servidor multiplataforma para la transferencia de archivos con soporte para FTP, SFTP y acceso web. Los desarrolladores afirman tener más de 10 000 clientes en todo el mundo, entre ellos la Fuerza Aérea de EE. UU., Sony, Airbus, Reuters y Sephora. En ese contexto, incluso una vulnerabilidad de efecto limitado deja de parecer secundaria, porque se trata de un producto que a menudo está en el perímetro externo y maneja archivos sensibles.
El problema CVE-2025-47813 permite a un atacante con privilegios bajos conocer la ruta local completa de instalación de la aplicación en un servidor no actualizado. Ese fallo por sí solo no permite la toma directa del equipo, pero facilita notablemente ataques posteriores: el servidor en la práctica indica dónde están los archivos necesarios y cómo está organizada la estructura interna de la instalación. El investigador Julien Arens, que descubrió y describió los problemas en Wing FTP, señaló además que esa filtración puede ayudar en la explotación de CVE-2025-47812, una vulnerabilidad crítica de ejecución remota de código.
La corrección para CVE-2025-47813 se publicó ya en mayo de 2025 en la versión 7.4.4 de Wing FTP Server. En esa misma actualización los desarrolladores también cerraron dos problemas más peligrosos: CVE-2025-47812 de ejecución remota de código y CVE-2025-27889, un fallo de divulgación de información que se podía usar para robar la contraseña de un usuario. Fue precisamente CVE-2025-47812 la que rápidamente se convirtió en el tema principal, porque los atacantes empezaron a explotarla casi de inmediato tras la publicación de los detalles técnicos.
Más tarde Arens publicó el código de prueba de concepto también para CVE-2025-47813. Tras eso, el escenario encadenado empezó a parecer bastante realista: primero el atacante extrae información de servicio sobre la estructura del servidor y después la utiliza como apoyo para una explotación más peligrosa. CISA no revela detalles de los ataques actuales, pero la inclusión de CVE-2025-47813 en el KEV significa que la agencia tiene confirmación de uso real de la vulnerabilidad, no solo de una amenaza teórica.
Se dio a las agencias civiles federales de EE. UU. un plazo de dos semanas para proteger sus sistemas en el marco de la directiva BOD 22-01. Formalmente, el requisito se aplica a las entidades gubernamentales, pero CISA recomendó por separado que todos los responsables de seguridad, incluido el sector privado, actualicen sus servidores. La lógica es simple: Wing FTP ya está en el punto de mira de los atacantes y ahora se observa en explotación activa un defecto adicional que puede facilitar una nueva ola de compromisos. Si la actualización no es posible, la agencia recomienda seguir las instrucciones del proveedor para mitigar el riesgo o dejar de usar el producto.
El caso de Wing FTP ilustra bien una tendencia preocupante del último año. Incluso una vulnerabilidad que sobre el papel parece una simple filtración de información de servicio se convierte rápidamente en parte de una cadena más peligrosa. Y cuando entre la publicación de los detalles técnicos y los ataques reales transcurre apenas un día, los administradores casi no disponen del tiempo habitual para aplicar parches con calma. En el caso de Wing FTP ese margen hace tiempo que se agotó: la versión 7.4.4 salió hace varios meses, y todos los servidores anteriores a esa ahora se ven como un objetivo bastante claro.