CVE-2025-8610 y CVE-2025-8611: Zero-day crítico en AOMEI Cyber Backup y Backupper
Admin
August 25, 2025
Translate to:
Severidad: Crítica (CVSS 9.8)
Tipo: Ejecución remota de código (RCE) por falta de autenticación
Fecha de descubrimiento: Agosto de 2025
Estado: Zero-day, potencial de explotación extremadamente alto.
Productos afectados: AOMEI Cyber Backup (CVE-2025-8610, CVE-2025-8611)
Investigador: Gu YongZeng (@0x0dee) para ZDI
Tipo: Ejecución remota de código (RCE) por falta de autenticación
Fecha de descubrimiento: Agosto de 2025
Estado: Zero-day, potencial de explotación extremadamente alto.
Productos afectados: AOMEI Cyber Backup (CVE-2025-8610, CVE-2025-8611)
Investigador: Gu YongZeng (@0x0dee) para ZDI
Descripción técnica
-
Ambas vulnerabilidades permiten la ejecución remota de código sin autenticación en instalaciones de AOMEI Cyber Backup.
- CVE-2025-8610: Impacta el servicioStorageNode(puerto TCP 9075 por defecto).
- CVE-2025-8611: Impacta el servicioDaoService(puerto TCP 9074 por defecto). - Los servicios carecen de autenticación previa para funciones críticas, permitiendo que cualquier atacante remoto ejecute código arbitrario con privilegios de SYSTEM.
-
No es necesario ningún tipo de privilegio previo ni interacción del usuario para explotar el fallo.
La complejidad de ataque es baja y el potencial de impacto (confidencialidad, integridad y disponibilidad) es máximo.
Impacto
- Compromiso total del servidor de backups (control remoto absoluto).
- Acceso, robo, cifrado o destrucción de copias de seguridad empresariales.
- Potencial para movimiento lateral y acceso a otros activos de la infraestructura.
- Puede facilitar la instalación de ransomware, troyanos y eliminación de registros forenses.
Detección y mitigación
- Mitigación inmediata recomendada: Restringir el acceso TCP externo a los puertos 9074 y 9075 del servidor afectado.
- Implementar firewalls o reglas de red para asegurar que solo los activos internos de confianza puedan comunicarse con los servicios involucrados.
- Monitorizar logs y el tráfico de red hacia estos servicios en busca de actividad sospechosa.
- Actualizar el producto a la versión corregida tan pronto como el fabricante publique el parche.
- Si ya se sospecha compromiso, realizar análisis forense, revocar credenciales y reinstalar el servidor.
Tabla resumen técnica
| Aspecto | Detalle |
|---|---|
| CVE | CVE-2025-8610 / CVE-2025-8611 |
| Tipo | RCE por falta de autenticación |
| Servicios afectados | StorageNode (9075), DaoService (9074) |
| Vector | Remoto, sin autenticación, acceso a función crítica |
| Privilegios requeridos | Ninguno |
| Impacto | Compromiso total, ejecución como SYSTEM |
| Exploitabilidad | Muy alta (baja complejidad y sin requerimientos de privilegios) |
| Mitigación | Restringir puertos 9074/9075, aplicar parches, monitoreo y respuesta forense |
Recomendación urgente:
Si usas AOMEI Cyber Backup expuesto a red pública, restringe los servicios afectados inmediatamente, monitoriza tráfico y logs, y planifica la actualización siguiendo los avisos oficiales de seguridad. La ejecución remota por falta de autenticación supone un riesgo extremo para cualquier infraestructura de backups empresariales.
Si usas AOMEI Cyber Backup expuesto a red pública, restringe los servicios afectados inmediatamente, monitoriza tráfico y logs, y planifica la actualización siguiendo los avisos oficiales de seguridad. La ejecución remota por falta de autenticación supone un riesgo extremo para cualquier infraestructura de backups empresariales.
Comments (0)
No comments yet. Be the first to comment!