Nueva investigación sobre el código cliente SOAP del .NET Framework heredado ha descubierto “SOAPwn”, una clase de vulnerabilidades. Estas pueden ser utilizadas para la ejecución remota de código (RCE) en múltiples productos empresariales. Incluyendo Barracuda Service Center RMM, Ivanti Endpoint Manager, Umbraco CMS 8, Microsoft PowerShell y SQL Server Integration Services.
Comprendiendo la Clase de Vulnerabilidad SOAPwn. Presentado por Piotr Bazydlo en Black Hat Europe 2025, SOAPwn se centra en cómo los clientes HTTP SOAP del .NET manejan las URL.
Las clases proxy afectadas (SoapHttpClientProtocol, DiscoveryClientProtocol y HttpSimpleClientProtocol) heredan de HttpWebClientProtocol, que internamente usa WebRequest.Create(uri) sin hacer cumplir esquemas solo HTTP. Si un atacante puede influir en la propiedad URL (directamente o a través de importaciones WSDL), el proxy puede cambiar de forma transparente de HTTP a rutas de archivo:// o UNC, convirtiendo una llamada SOAP de red en una escritura de archivo local o remota.
.webp)
Este peculiar diseño permite varias primitivas de ataque. En el nivel más bajo, los atacantes pueden retransmitir NTLM dirigiendo el tráfico SOAP a los recursos compartidos SMB. Más críticamente, cuando se combina con WSDL y argumentos SOAP controlados por el atacante, este mismo comportamiento se convierte en una primitiva de escritura de archivos arbitraria. En entornos del mundo real, los investigadores usaron esto para inyectar webshells ASPX o CSHTML o scripts de PowerShell maliciosos en rutas accesibles por la web, lo que resultó en una ejecución remota de código completa.
| Producto | ID de CVE | Tipo de Vulnerabilidad | Vector de Ataque |
|---|---|---|---|
| Barracuda Service Center RMM | CVE-2025-34392 | RCE preautenticado | Importación WSDL maliciosa |
| Ivanti Endpoint Manager (EPM) | CVE-2025-13659 | RCE basado en WSDL | Inyección de carga útil de espacio de nombres |
| Umbraco 8 CMS | No asignado | RCE postautenticado | Manipulación de la fuente de datos del servicio web |
| Microsoft PowerShell | No asignado | RCE de consumo WSDL | Análisis WSDL |
| Microsoft SQL Server Integration Services | No asignado | RCE de consumo WSDL | Análisis WSDL |
.webp)
Productos Afectados y Detalles de CVE
Una revisión rápida de las soluciones estándar basadas en .NET ya ha revelado múltiples productos afectados. Barracuda Service Center RMM expuso un método SOAP preautenticado que importa dinámicamente WSDL. Genera un proxy a través de ServiceDescriptionImporter, lo compila e invoca métodos elegidos por el atacante con argumentos proporcionados por el atacante. Una única solicitud SOAP creada fue suficiente para escribir un webshell en el disco, ahora rastreado como CVE-2025-34392 y parcheado en la actualización urgente 2025.1.1. Ivanti Endpoint Manager también era explotable a través de cargas útiles CSHTML introducidas a través de espacios de nombres en archivos WSDL maliciosos. Umbraco 8 CMS permitía a los usuarios autenticados con permisos de Formularios definir fuentes de datos de servicios web arbitrarias que apuntaban al WSDL de un atacante, alcanzando nuevamente la misma ruta de proxy vulnerable.
.webp)
Según Watchtowr, Microsoft PowerShell y SSIS también se demostró que eran vulnerables al consumir WSDL no confiables. A pesar de los problemas que surgen del comportamiento central del proxy de .NET, Microsoft ha asignado repetidamente estos hallazgos a un estado de "NO CORREGIR" a nivel de marco. Caracterizándolos como problemas de capa de aplicación y actualizando la documentación en lugar de enviar cambios de código. Para los defensores, la guía práctica es clara: identifica y bloquea cualquier uso de ServiceDescriptionImporter que procese WSDL controlado por el atacante. Audita todos los usos de SoapHttpClientProtocol, DiscoveryClientProtocol, HttpPostClientProtocol y HttpGetClientProtocol donde la propiedad URL pueda verse influenciada por la entrada del usuario.
Dada la antigüedad y la ubicuidad del .NET Framework en entornos empresariales, es probable que errores de estilo SOAP similares surjan en muchas otras soluciones internas y de proveedores.
https://cybersecuritynews.com/soapwn-net-vulnerabilities/
No hay comentarios:
Publicar un comentario