Una nueva investigación ha descubierto primitivas de explotación en el.NET Framework que podrían aprovecharse en aplicaciones de nivel empresarial para lograr la ejecución remota de código.
WatchTowr Labs, cuyo nombre en código es «vulnerabilidad de reparto no válido» Jabón N , dijo el problema afecta a Barracuda Service Center RMM, Ivanti Endpoint Manager (EPM) y Umbraco 8. Sin embargo, es probable que el número de proveedores afectados sea mayor dado el uso generalizado de .NET.
Los hallazgos fueron presentado hoy del investigador de seguridad de WatchTower, Piotr Bazydlo, en la conferencia de seguridad Black Hat Europe, que se celebra en Londres.
Básicamente, SOAPwn permite a los atacantes abusar de las importaciones del lenguaje de descripción de servicios web (WSDL) y de los proxies de clientes HTTP para ejecutar código arbitrario en productos creados sobre la base de .NET debido a errores en la forma en que gestionan el Protocolo simple de acceso a objetos ( JABÓN ) mensajes.
«Por lo general, se puede abusar de él a través de clientes SOAP, especialmente si se crean dinámicamente a partir del WSDL controlado por el atacante», afirma Bazydlo.
Como resultado, .NET Framework Proxies de cliente HTTP se puede manipular para usar controladores de sistemas de archivos y lograr una escritura arbitraria de archivos pasando como URL algo como «file://<attacker-controlled input>» a un proxy de cliente SOAP, lo que finalmente conduce a la ejecución del código. Para empeorar las cosas, se puede usar para sobrescribir archivos existentes, ya que el atacante controla la ruta de escritura completa.
En un escenario hipotético de ataque, un actor de amenazas podría aprovechar este comportamiento para proporcionar una convención de nomenclatura universal ( UNC ) ruta (por ejemplo, «file: //attacker.server/poc/poc») y hacen que la solicitud SOAP se escriba en un recurso compartido de SMB bajo su control. Esto, a su vez, puede permitir a un atacante capturar el desafío NTLM y descifrarlo.
Eso no es todo. La investigación también descubrió que un vector de explotación más potente puede utilizarse como arma en aplicaciones que generan proxies de clientes HTTP a partir de archivos WSDL mediante el Importador de descripción del servicio clase aprovechando el hecho de que no valida la URL utilizada por el proxy de cliente HTTP generado.
Con esta técnica, un atacante puede proporcionar una URL que apunte a un archivo WSDL que controle para aplicaciones vulnerables y obtener la ejecución remota de código eliminando un shell web ASPX completamente funcional o cargas útiles adicionales, como shells web CSHTML o scripts de PowerShell.
Tras la divulgación responsable en marzo de 2024 y julio de 2025, Microsoft optó por no corregir la vulnerabilidad, afirmando que el problema se debe a un problema o al comportamiento de la aplicación, y que «los usuarios no deben consumir información que no sea de confianza que pueda generar y ejecutar código».
Los hallazgos ilustran cómo el comportamiento esperado en un marco popular puede convertirse en una posible ruta de explotación que lleva a la retransmisión de NTLM o a la escritura arbitraria de archivos. Desde entonces, el problema se ha abordado en Barracuda Service Center RMM versión 2025.1.1 ( CVE-2025-34392 , puntuación CVSS: 9,8) e Ivanti EPM versión 2024 SU4 SR1 ( CVE-2025-13659 , puntuación CVSS: 8,8).
«Es posible hacer que los proxies SOAP escriban solicitudes SOAP en archivos en lugar de enviarlos a través de HTTP», dijo Bazydlo. «En muchos casos, esto lleva a la ejecución remota de código mediante la carga de webshell o la carga de scripts de PowerShell. El impacto exacto depende de la aplicación que utilice las clases de proxy».