Zranitelnost WinRARu CVE-2025-6218

Americká Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) oficiálně přidala bezpečnostní chybu v archivačním a komprimačním programu WinRAR do svého katalogu známých zneužitelných zranitelností (KEV). Agentura uvedla důkazy o tom, že tato zranitelnost je aktivně zneužívána, což vyvolává obavy jak u organizací, tak u jednotlivých uživatelů.

Chyba, evidovaná jako CVE-2025-6218 se skóre CVSS 7,8, je zranitelnost umožňující procházení cesty, která útočníkovi umožňuje spustit kód v kontextu aktuálního uživatele. Úspěšné zneužití vyžaduje, aby cíl buď navštívil škodlivou webovou stránku, nebo otevřel speciálně vytvořený soubor.

Podrobnosti o stavu chyby a opravy

RARLAB tuto zranitelnost vyřešil ve verzi WinRAR 7.12, vydané v červnu 2025. Chyba se týká pouze sestavení pro Windows; verze pro Unix, Android a další platformy zůstávají nedotčeny.

Tato zranitelnost umožňuje útočníkům umístit soubory do citlivých umístění v systému, jako je například složka Po spuštění systému Windows, což může vést k nechtěnému spuštění kódu při dalším přihlášení do systému.

Aktivita aktéra hrozby

Několik zpráv o kybernetické bezpečnosti naznačuje, že CVE-2025-6218 zneužili tři různí aktéři hrozby:

• GOFFEE (Papírový vlkodlak)
• Hořký (APT-C-08 / Manlinghua)
• Gamaredon
• Kampaně GOFFEE

V červenci 2025 údajně GOFFEE zkombinoval zranitelnost CVE-2025-6218 s CVE-2025-8088, další vysoce závažnou zranitelností typu „path traversal“ ve WinRARu (skóre CVSS 8,8), aby zacílil na organizace prostřednictvím phishingových e-mailů. Tyto útoky naznačují koordinované a sofistikované úsilí o kompromitaci firemního prostředí.

Hořké zneužívání APT

Bitter, APT skupina zaměřená na jižní Asii, využila tuto zranitelnost k udržení perzistence na napadených systémech a nasadila trojského koně v C# pomocí odlehčeného stahovacího programu. Útok zahrnuje RAR archiv s názvem Provision of Information for Sectoral for AJK.rar, který obsahuje neškodný dokument Word a škodlivou šablonu makra.

Mezi klíčové mechanismy útoku patří:

• Vložení souboru Normal.dotm do globální cesty k šabloně aplikace Microsoft Word zajistí automatické spuštění makra při každém otevření aplikace Word.
• Obcházení standardních ochran e-mailových maker pro dokumenty přijaté po kompromitaci.

• Umožnění trojskému koně kontaktovat externí server C2 na adrese johnfashionaccess.com, což usnadňuje keylogging, pořizování snímků obrazovky, krádež RDP přihlašovacích údajů a exfiltraci souborů.

Tyto archivy jsou distribuovány především prostřednictvím spear-phishingových kampaní.

Vykořisťování Gamaredonu

Ruská skupina Gamaredon také zneužívala CVE-2025-6218 v phishingových kampaních zaměřených na ukrajinské vojenské, vládní, politické a administrativní subjekty. Malware s názvem Pteranodon byl poprvé pozorován v listopadu 2025.

Důkazy naznačují, že se nejedná o oportunistickou aktivitu. Jedná se o strukturovanou, vojensky orientovanou špionáž a sabotáž, pravděpodobně koordinovanou ruskou státní tajnou službou. Gamaredon navíc zneužil kód CVE-2025-8088 k distribuci malwaru ve Visual Basic Scriptu a nasazení destruktivního wiperu s názvem GamaWiper, což představuje první pozorovaný přechod skupiny od špionáže k destruktivním operacím.

Ponaučení pro bezpečnostní týmy

Organizace a bezpečnostní týmy by měly upřednostnit následující akce:

• Ujistěte se, že všechny systémy Windows s WinRARem jsou aktualizovány na verzi 7.12 nebo novější.
• Buďte ostražití vůči phishingovým kampaním, zejména vůči e-mailům typu spear phishing obsahujícím archivy RAR nebo dokumenty Word.
• Sledujte podezřelou aktivitu, která by naznačovala přetrvávající backdoory, keylogging nebo pokusy o komunikaci C2.
• Uvědomte si, že státem sponzorované subjekty mohou kombinovat více zranitelností pro cílené útoky.

Proaktivní záplatování, hygiena zabezpečení e-mailů a monitorování koncových bodů jsou klíčové pro zmírnění těchto pokročilých hrozeb a omezení provozního dopadu zneužitých zranitelností, jako je CVE-2025-6218.