Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Vulnerabilitat Vulnerabilitat de WinRAR CVE-2025-6218

Vulnerabilitat de WinRAR CVE-2025-6218

El Mezo el Vulnerabilitat, Amenaça persistent avançada (APT)
Traduir a:

L'Agència de Ciberseguretat i Seguretat d'Infraestructures dels Estats Units (CISA) ha afegit formalment una falla de seguretat a l'arxivador i utilitat de compressió d'arxius WinRAR al seu catàleg de vulnerabilitats explotades conegudes (KEV). L'agència ha citat proves que la vulnerabilitat s'està explotant activament, cosa que genera preocupació tant per a organitzacions com per a usuaris individuals.

La falla, registrada com a CVE-2025-6218 amb una puntuació CVSS de 7,8, és una vulnerabilitat de travessia de ruta que permet a un atacant executar codi en el context de l'usuari actual. Per a una explotació reeixida, cal que l'objectiu visiti un lloc web maliciós o obri un fitxer especialment dissenyat.

Detalls de l’estat de les defeccions i els pegats

RARLAB va solucionar aquesta vulnerabilitat a WinRAR 7.12, llançada el juny de 2025. La falla només afecta les versions basades en Windows; les versions per a Unix, Android i altres plataformes no es veuen afectades.

La vulnerabilitat permet als atacants col·locar fitxers en ubicacions sensibles del sistema, com ara la carpeta d'inici de Windows, cosa que pot desencadenar l'execució no desitjada de codi en el següent inici de sessió del sistema.

Activitat de l’actor amenaçador

Diversos informes de ciberseguretat indiquen que la CVE-2025-6218 ha estat explotada per tres actors d'amenaces diferents:

  • GOFFEE (Home llop de paper)
  • Amarg (APT-C-08 / Manlinghua)
  • Gamaredon
  • Campanyes de GOFFEE

El juliol de 2025, GOFFEE presumptament va combinar CVE-2025-6218 amb CVE-2025-8088, una altra vulnerabilitat de travessia de ruta de WinRAR d'alta gravetat (puntuació CVSS 8,8), per atacar organitzacions mitjançant correus electrònics de phishing. Aquests atacs suggereixen un esforç coordinat i sofisticat per comprometre els entorns corporatius.

Explotació amarga d’APT

Bitter, un grup APT centrat al sud d'Àsia, va utilitzar la vulnerabilitat com a arma per mantenir la persistència en sistemes compromesos i implementar un troià de C# mitjançant un descarregador lleuger. L'atac implica un arxiu RAR anomenat Provision of Information for Sectoral for AJK.rar, que conté un document de Word benigne i una plantilla de macro maliciosa.

Les mecàniques clau de l'atac inclouen:

  • S'afegeix Normal.dotm a la ruta de plantilla global del Microsoft Word, garantint que la macro s'executi automàticament cada vegada que s'obre el Word.
  • Evitant les proteccions estàndard de macros de correu electrònic per als documents rebuts després d'un compromís.
  • Permetent que el troià es posi en contacte amb un servidor C2 extern a johnfashionaccess.com, facilitant el registre de claus, la captura de captures de pantalla, el robatori de credencials RDP i l'exfiltració d'arxius.

Aquests arxius es distribueixen principalment a través de campanyes de spear phishing.

Explotació de Gamaredon

El grup Gamaredon, afiliat a Rússia, també ha aprofitat el CVE-2025-6218 en campanyes de phishing dirigides a entitats militars, governamentals, polítiques i administratives ucraïneses. El programari maliciós, anomenat Pteranodon, es va observar per primera vegada el novembre del 2025.

L'evidència indica que no es tracta d'una activitat oportunista. Representa un espionatge i sabotatge estructurat i d'orientació militar, probablement coordinat per la intel·ligència estatal russa. A més, Gamaredon ha abusat del CVE-2025-8088 per distribuir programari maliciós Visual Basic Script i desplegar un netejador destructiu anomenat GamaWiper, marcant la primera transició observada del grup de l'espionatge a operacions destructives.

Conclusions per als equips de seguretat

Les organitzacions i els equips de seguretat haurien de prioritzar les accions següents:

  • Assegureu-vos que tots els sistemes Windows que executen WinRAR estiguin actualitzats a la versió 7.12 o posterior.
  • Estigueu alerta contra les campanyes de phishing, en particular els correus electrònics de spear-phishing que contenen arxius RAR o documents de Word.
  • Monitoritzar activitats sospitoses que indiquen portes del darrere persistents, registre de claus o intents de comunicació C2.
  • Reconeixeu que els actors patrocinats per l'estat poden combinar múltiples vulnerabilitats per a atacs dirigits.

L'aplicació proactiva de pegats, la higiene de la seguretat del correu electrònic i la supervisió dels endpoints són fonamentals per mitigar aquestes amenaces avançades i limitar l'impacte operatiu de vulnerabilitats explotades com la CVE-2025-6218.

Tendència

Més vist

Carregant...