Classe ServiceDescriptionImporter abre vetor de RCE em aplicações .NET

Pesquisadores identificaram falhas graves no .NET Framework que podem ser exploradas para comprometer aplicações corporativas e permitir execução remota de código (RCE). A vulnerabilidade, apelidada de SOAPwn, foi apresentada pelo Pesquisador Piotr Bazydlo, da WatchTowr Labs, durante a conferência Black Hat Europe, em Londres. Segundo a pesquisa, o problema afeta diretamente soluções como Barracuda Service Center RMM, Ivanti Endpoint Manager (EPM) e Umbraco 8, mas o número real de softwares vulneráveis deve ser muito maior devido ao uso massivo do .NET no mercado.

A falha ocorre pela forma incorreta como algumas aplicações .NET lidam com mensagens SOAP e com importações de WSDL. Segundo Bazydlo, um invasor pode forjar um WSDL malicioso e induzir clientes SOAP dinâmicos a utilizar manipuladores de sistema de arquivos. Com isso, o atacante consegue fazer com que o .NET grave arquivos arbitrários em caminhos controlados inclusive sobrescrevendo arquivos existentes o que abre caminho para execução remota de código.

Em um cenário de ataque, um invasor poderia enviar um endereço UNC malicioso, como "file://attacker.server/poc/poc", fazendo com que a requisição SOAP fosse escrita diretamente em um compartilhamento SMB sob seu controle. Isso permitiria capturar desafios NTLM, abrir caminho para ataques de cracking, e possivelmente escalar para acesso mais profundo ao ambiente.

A pesquisa também revelou um vetor de exploração ainda mais poderoso: aplicações que geram proxies HTTP a partir de arquivos WSDL usando a classe ServiceDescriptionImporter não validam corretamente as URLs fornecidas. Isso permite que o invasor entregue um WSDL controlado e injete cargas maliciosas, resultando no envio de web shells ASPX, arquivos CSHTML ou scripts PowerShell culminando em execução remota de código.

Apesar da gravidade, a Microsoft informou que não irá corrigir a falha, classificando o problema como consequência de “uso inseguro por parte de aplicações que consomem entradas não confiáveis”. A recomendação oficial é que desenvolvedores evitem aceitar WSDLs ou inputs dinâmicos que possam gerar código de maneira automática.

Alguns fornecedores, no entanto, já aplicaram correções. A Barracuda resolveu o problema na versão 2025.1.1 (CVE-2025-34392, CVSS 9.8), e a Ivanti corrigiu a falha na versão 2024 SU4 SR1 (CVE-2025-13659, CVSS 8.8). Segundo Bazydlo, o impacto final “depende de como cada aplicação utiliza as classes de proxy SOAP”, mas em muitos casos o resultado é simples e direto: RCE via upload de web shells ou scripts maliciosos.

Via - THN