ثغرة أمنية في برنامج WinRAR (CVE-2025-6218)

أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) رسميًا ثغرة أمنية في برنامج WinRAR لضغط الملفات وأرشفتها إلى قائمة الثغرات الأمنية المعروفة والمستغلة (KEV). وأشارت الوكالة إلى وجود أدلة على استغلال هذه الثغرة بشكل فعلي، مما يثير مخاوف لدى المؤسسات والمستخدمين الأفراد على حد سواء.

تُعرف هذه الثغرة الأمنية، المُسجلة تحت رقم CVE-2025-6218 وبدرجة خطورة 7.8 وفقًا لمعيار CVSS، بأنها ثغرة تسمح للمهاجم بتنفيذ تعليمات برمجية ضمن صلاحيات المستخدم الحالي. ويتطلب استغلالها بنجاح أن يقوم المستخدم المستهدف إما بزيارة موقع ويب خبيث أو فتح ملف مُصمم خصيصًا لهذا الغرض.

تفاصيل حالة العيب والتصحيح

قامت شركة RARLAB بمعالجة هذه الثغرة الأمنية في WinRAR 7.12، الذي تم إصداره في يونيو 2025. يؤثر هذا الخلل على الإصدارات المستندة إلى نظام التشغيل Windows فقط؛ أما الإصدارات الخاصة بنظام Unix و Android والأنظمة الأساسية الأخرى فتبقى غير متأثرة.

تتيح هذه الثغرة الأمنية للمهاجمين وضع ملفات في مواقع حساسة في النظام، مثل مجلد بدء تشغيل ويندوز، مما قد يؤدي إلى تنفيذ تعليمات برمجية غير مقصودة عند تسجيل الدخول التالي إلى النظام.

نشاط الجهة المهاجمة

تشير تقارير متعددة عن الأمن السيبراني إلى أن CVE-2025-6218 قد تم استغلاله من قبل ثلاثة جهات تهديد متميزة:

• جوفي (مستذئب ورقي)
• مر (APT-C-08 / مانلينغوا)
• غاماريدون
• حملات جوفي

في يوليو 2025، يُزعم أن مجموعة GOFFEE قامت بدمج الثغرة الأمنية CVE-2025-6218 مع الثغرة CVE-2025-8088، وهي ثغرة أخرى خطيرة في برنامج WinRAR تسمح بالوصول غير المصرح به إلى النظام (بدرجة خطورة 8.8 وفقًا لمعيار CVSS)، لاستهداف المؤسسات عبر رسائل البريد الإلكتروني التصيدية. تشير هذه الهجمات إلى جهد منسق ومتطور لاختراق بيئات الشركات.

استغلال مرير لنقاط التهديد المتقدمة

استغلت مجموعة "بيتر"، وهي مجموعة تهديد متقدم مستمر تركز على جنوب آسيا، ثغرة أمنية للحفاظ على وجودها في الأنظمة المخترقة ونشر حصان طروادة مكتوب بلغة C# باستخدام برنامج تنزيل خفيف. يتضمن الهجوم ملف RAR مضغوطًا باسم "Provision of Information for Sectoral for AJK.rar"، يحتوي على مستند Word عادي وقالب ماكرو خبيث.

تشمل الآليات الرئيسية للهجوم ما يلي:

• وضع ملف Normal.dotm في مسار القوالب العامة لبرنامج Microsoft Word، مما يضمن تنفيذ الماكرو تلقائيًا في كل مرة يتم فيها فتح برنامج Word.
• تجاوز الحماية القياسية لوحدات الماكرو في البريد الإلكتروني للمستندات المستلمة بعد الاختراق.

• تمكين حصان طروادة من الاتصال بخادم C2 خارجي على johnfashionaccess.com، مما يسهل تسجيل ضغطات المفاتيح، والتقاط لقطات الشاشة، وسرقة بيانات اعتماد RDP، واستخراج الملفات.

يتم توزيع هذه الأرشيفات بشكل أساسي من خلال حملات التصيد الاحتيالي الموجه.

استغلال غاماريدون

استغلت مجموعة غاماريدون، التابعة لروسيا، الثغرة الأمنية CVE-2025-6218 في حملات تصيد إلكتروني استهدفت كيانات عسكرية وحكومية وسياسية وإدارية أوكرانية. وقد رُصدت البرمجية الخبيثة، التي أُطلق عليها اسم بتيرانودون، لأول مرة في نوفمبر 2025.

تشير الأدلة إلى أن هذا ليس نشاطًا انتهازيًا، بل يُمثل تجسسًا وتخريبًا مُنظمًا ذا توجه عسكري، يُرجح أن يكون بتنسيق من المخابرات الروسية. إضافةً إلى ذلك، استغلت مجموعة غاماريدون ثغرة CVE-2025-8088 لنشر برمجيات خبيثة مكتوبة بلغة فيجوال بيسك سكريبت، ونشر أداة مسح بيانات مدمرة تُدعى غاما وايبر، مما يُمثل أول تحول مُلاحظ للمجموعة من التجسس إلى العمليات التخريبية.

أهم النقاط لفرق الأمن

ينبغي على المؤسسات وفرق الأمن إعطاء الأولوية للإجراءات التالية:

• تأكد من تحديث جميع أنظمة ويندوز التي تعمل بنظام WinRAR إلى الإصدار 7.12 أو أحدث.
• ابق متيقظًا ضد حملات التصيد الاحتيالي، وخاصة رسائل البريد الإلكتروني التي تحتوي على ملفات RAR أو مستندات Word.
• راقب أي نشاط مشبوه يشير إلى وجود أبواب خلفية مستمرة، أو تسجيل ضغطات المفاتيح، أو محاولات اتصال C2.
• يجب إدراك أن الجهات الفاعلة المدعومة من الدول قد تجمع بين نقاط ضعف متعددة لشن هجمات مستهدفة.

تعتبر عمليات التصحيح الاستباقية، ونظافة أمن البريد الإلكتروني، ومراقبة نقاط النهاية أمورًا بالغة الأهمية للتخفيف من هذه التهديدات المتقدمة والحد من التأثير التشغيلي للثغرات الأمنية المستغلة مثل CVE-2025-6218.