Una nueva investigación ha descubierto primitivas de explotación en .NET Framework que podrían usarse contra aplicaciones empresariales para lograr la ejecución remota de código.
WatchTowr Labs, que nombró en código la vulnerabilidad “Invalid Cast”. SOAPwndijo que el problema afectó a Barracuda Service Center RMM, Ivanti Endpoint Manager (EPM) y Umbraco 8. Sin embargo, dado el uso generalizado de .NET, es probable que la cantidad de proveedores afectados sea mayor.
Los hallazgos fueron presentados hoy por el investigador de seguridad de WatchTowr, Piotr Bazydlo, en la conferencia de seguridad Black Hat Europe que tuvo lugar en Londres.
Básicamente, SOAPwn permite a los atacantes abusar de las importaciones del lenguaje de descripción de servicios web (WSDL) y de los servidores proxy de clientes HTTP para ejecutar código arbitrario en productos creados sobre bases .NET debido a errores en el procesamiento de mensajes del Protocolo simple de acceso a objetos (SOAP).
“Por lo general, se puede abusar de él a través de clientes SOAP, especialmente cuando se crean dinámicamente a partir del WSDL controlado por el atacante”, dijo Bazydlo.
Como resultado, los servidores proxy de cliente HTTP de .NET Framework se pueden manipular para que utilicen controladores de sistemas de archivos y realicen escrituras de archivos arbitrarias pasando algo como “file://” como URL.
En un escenario de ataque hipotético, un actor de amenazas podría aprovechar este comportamiento para especificar una ruta de Convención de nomenclatura universal (UNC) (por ejemplo, “file://attacker.server/poc/poc”) y hacer que la solicitud SOAP se escriba en un recurso compartido SMB bajo su control. Esto, a su vez, puede permitir que un atacante capture y descifre el desafío NTLM.
Eso no es todo. La investigación también encontró que en aplicaciones que generan servidores proxy de cliente HTTP a partir de archivos WSDL utilizando la clase ServiceDescriptionImporter, se puede utilizar un vector de explotación más potente aprovechando el hecho de que la URL utilizada por el proxy de cliente HTTP generado no está validada.
Con esta técnica, un atacante puede proporcionar una URL que apunte a un archivo WSDL que controla para aplicaciones vulnerables y lograr la ejecución remota de código eliminando un shell web ASPX completamente funcional o cargas útiles adicionales como shells web CSHTML o scripts de PowerShell.
Después de una divulgación responsable en marzo de 2024 y julio de 2025, Microsoft decidió no parchear la vulnerabilidad, afirmando que el problema se debía a un problema de la aplicación o al comportamiento de la aplicación y que “los usuarios no deben consumir entradas que no sean de confianza y que puedan generar y ejecutar código”.
Los resultados ilustran cómo el comportamiento esperado en un marco popular puede convertirse en una ruta potencial de explotación que conduzca a la retransmisión NTLM o escrituras de archivos arbitrarias. Desde entonces, el problema se resolvió en Barracuda Service Center RMM versión 2025.1.1 (CVE-2025-34392, puntuación CVSS: 9,8) y Ivanti EPM versión 2024 SU4 SR1 (CVE-2025-13659, puntuación CVSS: 8,8).
“Es posible hacer que los servidores proxy SOAP escriban solicitudes SOAP en archivos en lugar de enviarlos a través de HTTP”, dijo Bazydlo. “En muchos casos, esto da como resultado la ejecución remota de código a través de cargas de webshell o cargas de scripts de PowerShell. El impacto exacto depende de la aplicación que utiliza las clases de proxy”.
About The Author
