Уязвимост на WinRAR CVE-2025-6218
Агенцията за киберсигурност и сигурност на инфраструктурата на САЩ (CISA) официално добави пропуск в сигурността на програмата за архивиране и компресиране на файлове WinRAR към каталога си с известни експлоатирани уязвимости (KEV). Агенцията посочи доказателства, че уязвимостта активно се експлоатира, което поражда опасения както за организациите, така и за отделните потребители.
Уязвимостта, проследена като CVE-2025-6218 с CVSS оценка 7.8, е уязвимост, която позволява на атакуващия да изпълни код в контекста на текущия потребител. Успешната експлоатация изисква целта или да посети злонамерен уебсайт, или да отвори специално създаден файл.
Съдържание
Подробности за състоянието на недостатъка и корекцията
RARLAB отстрани тази уязвимост във WinRAR 7.12, издаден през юни 2025 г. Недостатъкът засяга само компилации, базирани на Windows; версиите за Unix, Android и други платформи остават незасегнати.
Уязвимостта позволява на атакуващите да поставят файлове в чувствителни системни местоположения, като например папката за стартиране на Windows, което потенциално може да задейства неволно изпълнение на код при следващото влизане в системата.
Дейност на злонамерените лица
Многобройни доклади за киберсигурност показват, че CVE-2025-6218 е бил използван от три различни злонамерени лица:
- ГОФИ (Хартиен върколак)
- Горчив (APT-C-08 / Манлингхуа)
- Гамаредон
- GOFFEE Кампании
През юли 2025 г. GOFFEE е комбинирала CVE-2025-6218 с CVE-2025-8088, друга уязвимост с висока степен на сериозност за преминаване през WinRAR (CVSS оценка 8.8), за да атакува организации чрез фишинг имейли. Тези атаки предполагат координирани и сложни усилия за компрометиране на корпоративни среди.
Горчива APT експлоатация
Bitter, APT група, фокусирана върху Южна Азия, използва уязвимостта като оръжие, за да поддържа устойчивост на компрометирани системи и да внедри C# троянски кон, използвайки лек инструмент за изтегляне. Атаката включва RAR архив, наречен Provision of Information for Sectoral for AJK.rar, съдържащ безобиден Word документ и злонамерен шаблон за макроси.
Ключовите механизми на атаката включват:
- Прехвърляне на Normal.dotm в глобалния път на шаблона на Microsoft Word, гарантиращо автоматично изпълнение на макроса при всяко отваряне на Word.
- Заобикаляне на стандартните макроси за защита на имейли за документи, получени след компрометиране.
- Позволявайки на троянския кон да се свърже с външен C2 сървър на johnfashionaccess.com, улеснявайки кейлогинг, заснемане на екранни данни, кражба на RDP идентификационни данни и извличане на файлове.
Тези архиви се разпространяват предимно чрез spear-phishing кампании.
Експлоатация на Гамаредон
Свързаната с Русия група Gamaredon също е използвала CVE-2025-6218 във фишинг кампании, насочени към украински военни, правителствени, политически и административни структури. Зловредният софтуер, наречен Pteranodon, е забелязан за първи път през ноември 2025 г.
Доказателствата сочат, че това не е опортюнистична дейност. Тя представлява структуриран, военно ориентиран шпионаж и саботаж, вероятно координиран от руското държавно разузнаване. Освен това, Gamaredon е злоупотребила с CVE-2025-8088, за да доставя зловреден софтуер, използващ Visual Basic Script, и да внедрява разрушителен wiper, наречен GamaWiper, което отбелязва първия наблюдаван преход на групата от шпионаж към разрушителни операции.
Изводи за екипите по сигурността
Организациите и екипите по сигурността трябва да приоритизират следните действия:
- Уверете се, че всички Windows системи, на които работи WinRAR, са актуализирани до версия 7.12 или по-нова.
- Бъдете бдителни срещу фишинг кампании, особено срещу имейли с цел „spear phishing“, съдържащи RAR архиви или Word документи.
- Следете за подозрителна активност, показваща постоянни задни врати, кейлогинг или опити за комуникация с C2.
- Имайте предвид, че спонсорираните от държавата участници могат да комбинират множество уязвимости за целенасочени атаки.
Проактивното инсталиране на корекции, хигиената на защитата на имейлите и наблюдението на крайните точки са от решаващо значение за смекчаване на тези напреднали заплахи и ограничаване на оперативното въздействие на експлоатирани уязвимости като CVE-2025-6218.
