ثغرة أمنية في برنامج WinRAR (CVE-2025-8088)

كشف باحثون أمنيون عن استغلال واسع النطاق لثغرة أمنية خطيرة في برنامج RARLAB WinRAR، تم إصلاحها لاحقًا، من قبل جهات تهديد متعددة. وقد استغلت جهات معادية، مدعومة من دول، وجماعات ذات دوافع مالية، هذه الثغرة للوصول المبدئي إلى بيئات مستهدفة ونشر مجموعة واسعة من البرامج الضارة. ورغم إصلاح الثغرة في يوليو 2025، إلا أنها لا تزال تُستغل في عمليات متنوعة، مما يُسلط الضوء على المخاطر المستمرة المرتبطة بالبرامج غير المُحدثة.

CVE-2025-8088: نظرة عامة فنية وتأثيرها

تمت معالجة الثغرة الأمنية، المُسجلة تحت رقم CVE-2025-8088 وبدرجة خطورة 8.8 وفقًا لمعيار CVSS، في الإصدار 7.13 من برنامج WinRAR، الصادر بتاريخ 30 يوليو 2025. تُمكّن هذه الثغرة من تنفيذ تعليمات برمجية ضارة عبر ملفات أرشيفية مُصممة خصيصًا تُفتح في الإصدارات المُعرّضة للثغرة من البرنامج. يكمن السبب الرئيسي في خلل في مسار الملفات يسمح للمهاجمين بوضع الملفات في مواقع حساسة، أبرزها مجلد بدء التشغيل في نظام ويندوز، مما يُتيح لهم التسلل والتنفيذ التلقائي عند إعادة تشغيل النظام وتسجيل دخول المستخدم.

تعكس تقنية الاستغلال هذه فجوة دفاعية أوسع في أساسيات أمن التطبيقات ووعي المستخدم النهائي.

من ثغرة اليوم الصفر إلى ثغرة اليوم ن: تطور الهجمات

استُغلّت الثغرة الأمنية كـ"ثغرة يوم الصفر" في وقت مبكر من 18 يوليو 2025، لا سيما من قبل مجموعة التهديد ذات الدافع المزدوج RomCom (المعروفة أيضًا باسم CIGAR أو UNC4895). وقد أسفرت هذه العمليات عن نشر نسخة معدلة من برمجية SnipBot الخبيثة (NESTPACKER). كما يربط الباحثون نشاطًا مشابهًا بالمجموعة التي تم تتبعها تحت اسم UNC2596، والتي رُبطت بعمليات نشر برامج الفدية في كوبا.

بعد الكشف العلني عن الثغرة الأمنية ومعالجتها، تحولت بسرعة إلى ثغرة أمنية واسعة الانتشار، حيث يقوم المهاجمون بتضمين ملفات خبيثة، غالباً ما تكون اختصارات ويندوز (LNK) مخفية في تدفقات بيانات بديلة (ADS)، داخل محتوى وهمي. بمجرد استخراج هذه الملفات، يتم وضعها في مسارات نظام محددة مسبقاً ويتم تشغيلها تلقائياً بعد إعادة تشغيل الجهاز.

توسع عمليات الدول القومية نطاق الاستغلال

قامت العديد من الجماعات الإرهابية المرتبطة بالحكومات بتضمين ثغرة CVE-2025-8088 في حملاتها النشطة. وقد استخدمت جهات فاعلة موالية لروسيا، على وجه الخصوص، طُعماً مُصمماً خصيصاً وحمولات ثانوية لتحقيق أهداف التجسس والتخريب على حد سواء.

• قام Sandworm (المعروف أيضًا باسم APT44 أو FROZENBARENTS) بنشر أرشيفات تحتوي على ملفات وهمية ذات طابع أوكراني إلى جانب حمولات LNK الخبيثة المصممة لاسترداد مكونات إضافية.
• استهدفت مجموعة غاماريدون (المعروفة أيضًا باسم كارباثيان) الكيانات الحكومية الأوكرانية باستخدام ملفات RAR التي قدمت برامج تنزيل تطبيقات HTML (HTA) كمرحلة أولى.

في الوقت نفسه، قام أحد الجهات الفاعلة في مجال التهديدات ومقره الصين باستغلال نفس الثغرة الأمنية لتثبيت برنامج Poison Ivy، الذي يتم تسليمه من خلال برنامج نصي دفعي يتم وضعه في مجلد بدء تشغيل Windows ويتم تهيئته لاسترداد برنامج تنزيل ثانوي.

الحملات ذات الدوافع المالية والاستهداف التجاري

استغلت مجموعات المجرمين الإلكترونيين هذه الثغرة الأمنية بسرعة لنشر برامج خبيثة للتحكم عن بُعد (RATs) وبرامج سرقة المعلومات ضد ضحايا تجاريين. وتشمل البرامج الضارة التي تم رصدها أبوابًا خلفية يتم التحكم بها بواسطة روبوتات تيليجرام، بالإضافة إلى عائلات برامج خبيثة مثل AsyncRAT وXWorm.

في إحدى الحملات البارزة، قامت مجموعة إجرامية إلكترونية معروفة باستهدافها للمستخدمين البرازيليين بتوزيع إضافة خبيثة لمتصفح كروم. قامت هذه الإضافة بحقن شيفرة جافا سكريبت في صفحات موقعين مصرفيين برازيليين لعرض محتوى تصيد احتيالي وسرقة بيانات اعتماد المستخدمين، مما يُظهر مرونة الوصول الأولي الذي تم الحصول عليه من خلال ثغرة WinRAR.

الأسواق السرية وتحويل الاستغلال إلى سلعة

يُعتقد أن الانتشار السريع والواسع لثغرة CVE-2025-8088 نابع من ازدهار اقتصاد استغلال الثغرات الأمنية في الخفاء. وتشير التقارير إلى أن ثغرات WinRAR كانت تُباع بأسعار باهظة، مما سهّل دخول العديد من الجهات الفاعلة إلى هذا المجال. وقد قام أحد الموردين، الذي يعمل تحت اسم مستعار "zeroplayer"، بتسويق ثغرة WinRAR في الأسابيع التي سبقت الكشف العلني عن CVE-2025-8088.

يوضح الدور المستمر لشركة Zeroplayer كمزود رئيسي تحويل دورة حياة الهجوم إلى سلعة، حيث تقلل إمكانيات الاستغلال الجاهزة من تكاليف التطوير وتمكن المجموعات ذات الدوافع المتنوعة من إجراء عمليات متطورة.

نمط أوسع: ثغرات إضافية في برنامج WinRAR تتعرض للهجوم

يتزامن هذا النشاط مع محاولات استغلال ثغرة أمنية أخرى في برنامج WinRAR، وهي CVE-2025-6218 (درجة خطورة CVSS: 7.8). وقد لوحظ استغلال العديد من الجهات الخبيثة، بما في ذلك GOFFEE وBitter وGamaredon، لهذه الثغرة، مما يعزز التهديد المستمر الذي تشكله الثغرات الأمنية التي تظهر بعد فترة زمنية محددة، وسرعة استغلال المهاجمين للثغرات المكتشفة حديثًا.

الآثار الاستراتيجية على المدافعين

يُبرز الاستخدام المستمر لثغرات WinRAR المُعالجة أهمية إدارة التحديثات الأمنية في الوقت المناسب، وتدريب المستخدمين على الوعي الأمني، ومراقبة آليات استمرار الاختراق مثل الملفات غير المصرح بها في مجلدات بدء التشغيل. كما يُظهر تقارب الاستغلال المدعوم من دول والاستغلال الإجرامي مدى سرعة تحول الثغرات الأمنية الخطيرة إلى موارد مشتركة في مختلف بيئات التهديدات.