Ευπάθεια CVE-2025-6218 στο WinRAR
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) πρόσθεσε επίσημα ένα ελάττωμα ασφαλείας στο βοηθητικό πρόγραμμα αρχειοθέτησης αρχείων και συμπίεσης WinRAR στον κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών (KEV). Η υπηρεσία επικαλέστηκε στοιχεία που αποδεικνύουν ότι η ευπάθεια γίνεται ενεργά αντικείμενο εκμετάλλευσης, εγείροντας ανησυχίες τόσο για οργανισμούς όσο και για μεμονωμένους χρήστες.
Το ελάττωμα, που παρακολουθείται ως CVE-2025-6218 με βαθμολογία CVSS 7,8, είναι μια ευπάθεια διέλευσης διαδρομής που επιτρέπει σε έναν εισβολέα να εκτελέσει κώδικα στο πλαίσιο του τρέχοντος χρήστη. Η επιτυχής εκμετάλλευση απαιτεί ο στόχος είτε να επισκεφτεί έναν κακόβουλο ιστότοπο είτε να ανοίξει ένα ειδικά κατασκευασμένο αρχείο.
Πίνακας περιεχομένων
Λεπτομέρειες για το ελάττωμα και την κατάσταση της ενημέρωσης κώδικα
Το RARLAB αντιμετώπισε αυτό το θέμα ευπάθειας στο WinRAR 7.12, το οποίο κυκλοφόρησε τον Ιούνιο του 2025. Το ελάττωμα επηρεάζει μόνο τις εκδόσεις που βασίζονται σε Windows. Οι εκδόσεις για Unix, Android και άλλες πλατφόρμες παραμένουν ανεπηρέαστες.
Το θέμα ευπάθειας επιτρέπει στους εισβολείς να τοποθετούν αρχεία σε ευαίσθητες τοποθεσίες του συστήματος, όπως ο φάκελος εκκίνησης των Windows, ενδεχομένως ενεργοποιώντας ακούσια εκτέλεση κώδικα κατά την επόμενη σύνδεση στο σύστημα.
Δραστηριότητα Απειλητικού Παράγοντα
Πολλαπλές αναφορές για την κυβερνοασφάλεια δείχνουν ότι το CVE-2025-6218 έχει αξιοποιηθεί από τρεις ξεχωριστούς απειλητικούς παράγοντες:
- GOFFEE (Χάρτινος Λυκάνθρωπος)
- Πικρό (APT-C-08 / Manlinghua)
- Γκαμαρέδον
- Καμπάνιες GOFFEE
Τον Ιούλιο του 2025, η GOFFEE φέρεται να συνδύασε το CVE-2025-6218 με το CVE-2025-8088, μια άλλη ευπάθεια διέλευσης διαδρομής WinRAR υψηλής σοβαρότητας (βαθμολογία CVSS 8,8), για να στοχεύσει οργανισμούς μέσω email ηλεκτρονικού "ψαρέματος" (phishing). Αυτές οι επιθέσεις υποδηλώνουν μια συντονισμένη και εξελιγμένη προσπάθεια παραβίασης εταιρικών περιβαλλόντων.
Πικρή εκμετάλλευση APT
Η Bitter, μια ομάδα APT με επίκεντρο τη Νότια Ασία, χρησιμοποίησε την ευπάθεια ως όπλο για να διατηρήσει την επιμονή σε παραβιασμένα συστήματα και να αναπτύξει ένα trojan C# χρησιμοποιώντας ένα ελαφρύ πρόγραμμα λήψης. Η επίθεση περιλαμβάνει ένα αρχείο RAR με το όνομα Provision of Information for Sectoral για το AJK.rar, το οποίο περιέχει ένα καλοήθη έγγραφο του Word και ένα κακόβουλο πρότυπο μακροεντολής.
Οι βασικοί μηχανισμοί της επίθεσης περιλαμβάνουν:
- Αποθέτοντας το Normal.dotm στη διαδρομή καθολικού προτύπου του Microsoft Word, διασφαλίζοντας ότι η μακροεντολή εκτελείται αυτόματα κάθε φορά που ανοίγει το Word.
Αυτά τα αρχεία διανέμονται κυρίως μέσω καμπανιών spear-phishing.
Εκμετάλλευση Γκαμαρέντον
Η ομάδα Gamaredon, η οποία συνδέεται με τη Ρωσία, έχει επίσης αξιοποιήσει το CVE-2025-6218 σε εκστρατείες ηλεκτρονικού "ψαρέματος" (phishing) που στοχεύουν ουκρανικές στρατιωτικές, κυβερνητικές, πολιτικές και διοικητικές οντότητες. Το κακόβουλο λογισμικό, με την ονομασία Pteranodon, παρατηρήθηκε για πρώτη φορά τον Νοέμβριο του 2025.
Τα στοιχεία δείχνουν ότι δεν πρόκειται για μια ευκαιριακή δραστηριότητα. Αντιπροσωπεύει δομημένη, στρατιωτικά προσανατολισμένη κατασκοπεία και δολιοφθορά, πιθανώς συντονισμένη από τις ρωσικές κρατικές υπηρεσίες πληροφοριών. Επιπλέον, ο Gamaredon έχει καταχραστεί το CVE-2025-8088 για να παραδώσει κακόβουλο λογισμικό Visual Basic Script και να αναπτύξει ένα καταστροφικό εργαλείο καθαρισμού με το όνομα GamaWiper, σηματοδοτώντας την πρώτη παρατηρούμενη μετάβαση της ομάδας από την κατασκοπεία σε καταστροφικές επιχειρήσεις.
Συμβουλές για ομάδες ασφαλείας
Οι οργανισμοί και οι ομάδες ασφαλείας θα πρέπει να δώσουν προτεραιότητα στις ακόλουθες ενέργειες:
- Βεβαιωθείτε ότι όλα τα συστήματα Windows που εκτελούν WinRAR είναι ενημερωμένα στην έκδοση 7.12 ή νεότερη.
- Να παραμένετε σε εγρήγορση ενάντια σε εκστρατείες ηλεκτρονικού "ψαρέματος" (phishing), ιδίως σε email spear-phishing που περιέχουν αρχεία RAR ή έγγραφα Word.
- Παρακολουθήστε για ύποπτη δραστηριότητα που υποδηλώνει επίμονα backdoors, keylogging ή προσπάθειες επικοινωνίας C2.
- Αναγνωρίστε ότι οι κρατικά χρηματοδοτούμενοι φορείς ενδέχεται να συνδυάζουν πολλαπλά τρωτά σημεία για στοχευμένες επιθέσεις.
Η προληπτική ενημέρωση κώδικα, η υγιεινή της ασφάλειας email και η παρακολούθηση των τελικών σημείων είναι κρίσιμες για τον μετριασμό αυτών των προηγμένων απειλών και τον περιορισμό του λειτουργικού αντίκτυπου των τρωτών σημείων που έχουν εκμεταλλευτεί, όπως το CVE-2025-6218.
