WinRAR-sårbarhed CVE-2025-6218
Det amerikanske agentur for cybersikkerhed og infrastruktur (CISA) har officielt tilføjet en sikkerhedsfejl i WinRAR-filarkiverings- og komprimeringsværktøjet til sit katalog over kendte udnyttede sårbarheder (KEV). Agenturet henviste til beviser for, at sårbarheden aktivt udnyttes, hvilket vækker bekymring hos både organisationer og individuelle brugere.
Fejlen, der er sporet som CVE-2025-6218 med en CVSS-score på 7,8, er en sårbarhed over for adgang til stier, der tillader en angriber at udføre kode i den aktuelle brugers kontekst. Vellykket udnyttelse kræver, at målet enten besøger et ondsindet websted eller åbner en specialudformet fil.
Indholdsfortegnelse
Detaljer om fejlen og status for programrettelsen
RARLAB adresserede denne sårbarhed i WinRAR 7.12, der blev udgivet i juni 2025. Fejlen påvirker kun Windows-baserede builds; versioner til Unix, Android og andre platforme forbliver upåvirket.
Sårbarheden gør det muligt for angribere at placere filer på følsomme systemplaceringer, f.eks. Windows startmappe, hvilket potentielt udløser utilsigtet kodekørsel ved næste systemlogin.
Aktivitet for trusselsaktører
Flere cybersikkerhedsrapporter indikerer, at CVE-2025-6218 er blevet udnyttet af tre forskellige trusselsaktører:
- GOFFEE (Papirvarulv)
- Bitter (APT-C-08 / Manlinghua)
- Gamaredon
- GOFFEE-kampagner
I juli 2025 kombinerede GOFFEE angiveligt CVE-2025-6218 med CVE-2025-8088, en anden meget alvorlig sårbarhed i WinRAR-stier (CVSS-score 8,8), for at målrette organisationer via phishing-e-mails. Disse angreb tyder på en koordineret og sofistikeret indsats for at kompromittere virksomhedsmiljøer.
Bitter APT-udnyttelse
Bitter, en APT-gruppe med fokus på Sydasien, udnyttede sårbarheden til at opretholde persistens på kompromitterede systemer og implementere en C# trojan ved hjælp af en let downloader. Angrebet involverer et RAR-arkiv ved navn Provision of Information for Sectoral for AJK.rar, der indeholder et godartet Word-dokument og en ondsindet makroskabelon.
Nøglemekanikker i angrebet inkluderer:
- Slip Normal.dotm i Microsoft Words globale skabelonsti, hvilket sikrer, at makroen udføres automatisk, hver gang Word åbnes.
- Omgåelse af standard e-mail-makrobeskyttelse for dokumenter modtaget efter kompromittering.
- Gør det muligt for trojaneren at kontakte en ekstern C2-server på johnfashionaccess.com, hvilket letter keylogging, skærmbilledeoptagelse, tyveri af RDP-legitimationsoplysninger og fileksfiltrering.
Disse arkiver distribueres primært via spear-phishing-kampagner.
Gamaredon-udnyttelse
Den russisk-tilknyttede Gamaredon-gruppe har også udnyttet CVE-2025-6218 i phishing-kampagner rettet mod ukrainske militære, statslige, politiske og administrative enheder. Malwaren, kaldet Pteranodon, blev første gang observeret i november 2025.
Beviser tyder på, at dette ikke er en opportunistisk aktivitet. Det repræsenterer struktureret, militærorienteret spionage og sabotage, sandsynligvis koordineret af russisk statsefterretningstjeneste. Derudover har Gamaredon misbrugt CVE-2025-8088 til at levere Visual Basic Script-malware og implementere en destruktiv wiper ved navn GamaWiper, hvilket markerer gruppens første observerede overgang fra spionage til destruktive operationer.
Konklusioner for sikkerhedsteams
Organisationer og sikkerhedsteams bør prioritere følgende handlinger:
- Sørg for, at alle Windows-systemer, der kører WinRAR, er opdateret til version 7.12 eller nyere.
- Vær opmærksom på phishing-kampagner, især spear-phishing-e-mails, der indeholder RAR-arkiver eller Word-dokumenter.
- Overvåg for mistænkelig aktivitet, der tyder på vedvarende bagdøre, keylogging eller C2-kommunikationsforsøg.
- Anerkend at statsstøttede aktører kan kombinere flere sårbarheder til målrettede angreb.
Proaktiv patching, e-mailsikkerhedshygiejne og endpoint-overvågning er afgørende for at afbøde disse avancerede trusler og begrænse den operationelle påvirkning af udnyttede sårbarheder som CVE-2025-6218.
