Una nueva vulnerabilidad de ejecución remota de código (RCE) está siendo explotada activamente en el popular software de compresión 7-Zip, según alertó NHS England. El fallo, identificado como CVE-2025-11001 y con un CVSS de 7.0, permite a atacantes remotos ejecutar código arbitrario mediante el abuso del manejo de enlaces simbólicos en archivos ZIP.
1. ¿Qué está pasando? Explotación activa confirmada
El aviso oficial confirma:
Explotación en campañas reales (in the wild).
Publicación de un proof-of-concept (PoC) accesible para cualquier atacante.
Riesgo directo para organizaciones que utilicen versiones vulnerables de 7-Zip, especialmente en entornos Windows.
El PoC demuestra cómo un ZIP malicioso puede manipular enlaces simbólicos para escapar del directorio de extracción y escribir archivos en rutas arbitrarias, abriendo la puerta a ejecución de código.
2. Detalles técnicos del fallo
La vulnerabilidad reside en la forma en que 7-Zip procesa symbolic links contenidos dentro de archivos ZIP. Un archivo ZIP especialmente diseñado puede:
Forzar que el proceso de extracción salga del folder destino.
Sobrescribir archivos en directorios sensibles.
Ejecutar payloads maliciosos con los permisos de la cuenta de servicio que realiza la extracción.
Esta falla requiere interacción del usuario (por ejemplo, abrir o extraer el archivo ZIP), pero los vectores pueden variar según la implementación o automatización presente en cada entorno.
3. Alcance y requisitos para la explotación
Según el investigador Dominik (pacbypass), quien publicó un PoC adicional:
Solo es explotable en Windows.
Requiere ejecutarse desde un usuario con privilegios elevados, una cuenta de servicio, o en máquinas con Developer Mode habilitado.
Continúa siendo una amenaza válida debido a la facilidad de empaquetar ZIPs maliciosos y el uso habitual de 7-Zip en entornos corporativos.
4. Parche disponible desde julio de 2025
La vulnerabilidad fue corregida en 7-Zip versión 25.00 lanzada en julio de 2025.
Organizaciones que aún operan con versiones anteriores permanecen expuestas.
La advertencia de NHS England enfatiza la urgencia de actualizar debido al riesgo combinado de:
Explotación activa.
PoCs públicos.
Bajos requisitos técnicos para generar ZIPs maliciosos.
5. Recomendaciones para organizaciones
Para reducir la superficie de ataque, se recomienda:
Actualizar inmediatamente
Implementar 7-Zip 25.00 o superior en todas las máquinas Windows.
Restringir privilegios
Evitar que cuentas de servicio o usuarios con privilegios elevados manipulen archivos ZIP no verificados.
Monitorear actividades sospechosas
Especialmente creación/escritura de archivos fuera de directorios permitidos durante procesos de extracción.
Fortalecer filtros de correo y web
ZIPs manipulados son un vector común en campañas de phishing y entrega de malware.
Conclusión
CVE-2025-11001 representa un riesgo real para empresas que utilizan 7-Zip en Windows, especialmente ante la explotación activa y disponibilidad pública de pruebas de concepto. La combinación de enlaces simbólicos maliciosos y cuentas privilegiadas puede facilitar ataques de escalamiento o implantación de malware sin detección inmediata.
Actualizar de forma urgente es clave para mitigar este riesgo.
