Underc0de - La Casa de los Informáticos

Una grave vulnerabilidad de seguridad recientemente revelada en 7-Zip, uno de los gestores de archivos más utilizados del mundo, está siendo aprovechada activamente por actores maliciosos, según un aviso publicado por NHS England Digital. El fallo, identificado como CVE-2025-11001 y con una puntuación CVSS de 7.0, permite que atacantes remotos ejecuten código arbitrario en sistemas vulnerables. Esta situación ha encendido las alarmas entre organizaciones y expertos en ciberseguridad, ya que 7-Zip es ampliamente empleado tanto en entornos corporativos como domésticos.

La vulnerabilidad ha sido corregida en la versión 7-Zip 25.00, lanzada en julio de 2025. Sin embargo, millones de usuarios continúan utilizando versiones anteriores sin actualizar, lo que expone a empresas y particulares a posibles ataques dirigidos.

Un fallo crítico originado por el manejo incorrecto de enlaces simbólicos

Según la Zero Day Initiative (ZDI) de Trend Micro, el origen del problema reside en el manejo de enlaces simbólicos dentro de archivos ZIP. Esta validación incorrecta puede provocar que el proceso de extracción acceda a directorios no intencionados, permitiendo que un atacante manipule rutas y ejecute código con privilegios elevados.

En términos simples, un atacante solo necesita crear un archivo ZIP especialmente manipulado para lograr que 7-Zip ejecute comandos maliciosos, comprometa el sistema o tome control del entorno donde se ejecuta.

La ZDI advirtió que el fallo permite:

• Acceso a rutas fuera de los directorios previstos
• Escalada de privilegios en determinados escenarios
• Ejecución de código en el contexto de una cuenta de servicio

Este tipo de vectores es especialmente atractivo para actores maliciosos, ya que las herramientas de compresión son utilizadas masivamente y suelen ser consideradas de bajo riesgo, lo que facilita su explotación sin generar sospechas tempranas.

Investigadores responsables del hallazgo

La vulnerabilidad fue descubierta por Ryota Shiga, de GMO Flatt Security Inc., junto con Takumi, el auditor de seguridad impulsado por inteligencia artificial de la compañía. Su trabajo permitió identificar tanto CVE-2025-11001 como otra vulnerabilidad relacionada: CVE-2025-11002, también con una puntuación CVSS de 7.0.

Ambos fallos fueron introducidos accidentalmente en la versión 7-Zip 21.02, lo que significa que todos los usuarios que hayan instalado esta versión o posteriores —hasta la 24.xx— se encuentran en riesgo si no actualizan a la versión 25.00 o superior.

CVE-2025-11002: otro fallo grave corregido en la versión 25.00

Además de CVE-2025-11001, la nueva actualización de 7-Zip corrige CVE-2025-11002, otra vulnerabilidad que igualmente permite ejecución de código remota mediante el uso indebido de enlaces simbólicos y un fallo de validación que provoca un recorrido de directorios no autorizado.

Aunque ambas vulnerabilidades comparten similitudes técnicas, su existencia refuerza la necesidad urgente de que las organizaciones apliquen medidas de mitigación, ya que las dos pueden explotarse desde archivos ZIP aparentemente inofensivos.

Explotación activa confirmada, pero detalles aún desconocidos

El aviso emitido por NHS England Digital confirmó que la vulnerabilidad está siendo explotada activamente en la naturaleza. Sin embargo, en este momento no se conocen detalles públicos sobre:

• Quién está explotando la vulnerabilidad
• Qué grupos de amenazas están implicados
• Cómo se está utilizando con precisión
• En qué sectores o regiones se han observado los ataques

Esta falta de información aumenta la gravedad del escenario, ya que sugiere que los atacantes podrían estar aprovechando la brecha en campañas discretas, dirigidas o en fases de reconocimiento para preparar ataques de mayor escala.

Existencia de exploits públicos acelera el riesgo para usuarios y empresas

Uno de los elementos más preocupantes es que existen pruebas de concepto (PoC) publicadas para explotar CVE-2025-11001. El investigador conocido como Dominik (pacbypass) publicó una PoC que demuestra la viabilidad del ataque en condiciones reales.

Según Dominik, la vulnerabilidad solo puede explotarse en:

• Sistemas Windows
• Cuentas de usuario o servicio elevadas
• Equipos con modo desarrollador activado

Aunque estas condiciones pueden parecer restrictivas, en entornos corporativos o equipos de desarrollo son relativamente comunes, lo que amplifica el riesgo.

Recomendaciones urgentes para mitigar el riesgo

Para garantizar la seguridad de sistemas corporativos y personales, los expertos recomiendan aplicar de inmediato las siguientes medidas:

1. Actualizar a 7-Zip 25.00 o superior

Esta es la única forma efectiva de mitigar completamente el riesgo.

2. Evitar descomprimir archivos ZIP no confiables

Especialmente si provienen de correos sospechosos, enlaces desconocidos o fuentes no verificadas.

3. Restringir permisos de cuentas de servicio

Limitar privilegios reduce el impacto en caso de explotación.

4. Monitorear actividad inusual en entornos Windows

Particularmente en equipos con rol de desarrollo o administración.

5. Aplicar controles de seguridad adicionales

Como EDR, antivirus con análisis heurístico y herramientas de sandboxing.

Una amenaza real que exige acción inmediata

La revelación de que CVE-2025-11001 está siendo explotada activamente convierte esta vulnerabilidad en una de las amenazas más importantes del momento para usuarios de Windows que emplean 7-Zip como herramienta de extracción.

La combinación de exploits públicos, falta de detalles sobre los atacantes y amplia adopción de 7-Zip crea un escenario de riesgo significativo. Actualizar y aplicar controles de seguridad adicionales no es solo recomendable: es imprescindible.

Fuente: https://thehackernews.com/