Vulnerabilidad alta activamente explotada en 7-Zip
Recientemente se ha identificado una vulnerabilidad de alta severidad en el compresor de archivos 7-Zip, catalogada como CVE-2025-11001, la cual ya se encuentra bajo explotación activa por parte de actores maliciosos. Clasificada con una puntuación CVSS de 7.0, esta falla abre la puerta a una serie de riesgos importantes, entre ellos la ejecución remota de código, la sobrescritura de archivos del sistema y la corrupción de datos, lo que puede convertir archivos extraídos en elementos inutilizables o imposibles de recuperar.
El origen del problema está directamente relacionado con la forma en que 7-Zip maneja los enlaces simbólicos (symlinks) incluidos dentro de archivos ZIP. Los symlinks funcionan como accesos directos que apuntan a otro archivo o directorio. En condiciones normales, esta herramienta debería validar cuidadosamente los enlaces para evitar que durante el proceso de extracción se realicen escrituras fuera de la carpeta designada. Sin embargo, en esta vulnerabilidad ocasiona que no realicen las validaciones correctamente, permitiendo que los symlinks presenten rutas diseñadas para salir del directorio de destino. Esto significa que un atacante puede preparar un archivo ZIP que, al descomprimirse, fuerce a 7-Zip a escribir archivos en rutas externas, permitiéndole incluso sobrescribir archivos legítimos del sistema o ubicaciones sensibles del usuario.
La explotación de esta vulnerabilidad es relativamente sencilla para un atacante, ya que basta con crear un ZIP especialmente diseñado que contenga symlinks fuera de los límites del directorio. Cuando el usuario abra y extraiga el archivo en alguna de las versiones vulnerables, el programa ejecutara y permitirá que se extraiga el archivo sin verificar correctamente las rutas permitidas por symlinks. Esto puede resultar en la escritura de archivos maliciosos en áreas críticas del sistema, permitiendo acciones posteriores como scripts o configuraciones inyectadas se ejecuten con los mismos permisos del usuario que llevó a cabo la extracción. En posibles ataques donde el proceso se realiza con permisos elevados, el impacto puede ser devastador y abrir la puerta a la toma del control del equipo.
Es importante destacar que esta vulnerabilidad afecta únicamente a sistemas operativos Windows, debido a que este sistema operativo trata los enlaces simbólicos de forma diferente a otros sistemas como Linux o macOS. En Windows, la creación y manipulación de symlinks requiere contar con privilegios específicos, tales como permisos administrativos o la activación del “modo desarrollador”. Aunque esto podría parecer una limitante que reduce el riesgo, en ambientes corporativos y automatizados esta condición es mucho más común de lo que parece. Muchas aplicaciones de escritorio, servicios del sistema, herramientas de integración o procesos automatizados ejecutan tareas de descompresión con privilegios elevados, lo que deja un amplio margen que atacantes pueden aprovechar para vulnerar equipos.
Este CVE representa una amenaza considerable debido a la facilidad de explotación, su impacto y el hecho de que depende únicamente de que un usuario extraiga un archivo ZIP aparentemente legítimo.
Versiones Afectadas
|
Productos |
Versiones afectadas |
Versiones corregidas |
|
7-Zip |
Versiones 21.02 a 24.09 |
Versión 25.00 o posteriores. |
Recomendaciones
-
En caso de contar con versiones vulnerables, se recomienda actualizar a la versión parcheada o superiores.
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Arghire, I. (2025, Noviembre 20). Recent 7-Zip Vulnerability Exploited in Attacks. SecurityWeek. Recuperado el 20 de Noviembre de 2025, en: https://www.securityweek.com/recent-7-zip-vulnerability-exploited-in-attacks/
- Lakshmanan, R. (2025, Noviembre 19). Hackers Actively Exploiting 7-Zip Symbolic Link–Based RCE Vulnerability (CVE-2025-11001). The Hacker News. Recuperado el 20 de Noviembre de 2025, en: https://thehackernews.com/2025/11/hackers-actively-exploiting-7-zip.html
- Baran, G. (2025, Noviembre 19). Hackers Actively Exploiting 7-Zip RCE Vulnerability in the Wild. Cyber Security News. Recuperado el 20 de Noviembre de 2025, en: https://cybersecuritynews.com/7-zip-rce-vulnerability-exploited/
- Paganini, P. (2025, Noviembre 19). 7-Zip RCE flaw (CVE-2025-11001) actively exploited in attacks in the wild. Security Affairs. Recuperado el 20 de Noviembre de 2025, en: https://securityaffairs.com/184850/security/7-zip-rce-flaw-cve-2025-11001-actively-exploited-in-attacks-in-the-wild.html
