WinRAR-i haavatavus CVE-2025-6218
USA küberturvalisuse ja infrastruktuuri turvalisuse amet (CISA) on ametlikult lisanud oma teadaolevate ärakasutatud haavatavuste (KEV) kataloogi turvavea WinRAR-i failide arhiveerimis- ja tihendusutiliidis. Agentuur viitas tõenditele, et haavatavust kasutatakse aktiivselt ära, mis tekitab muret nii organisatsioonidele kui ka üksikkasutajatele.
See viga, mis on registreeritud kui CVE-2025-6218 ja mille CVSS-skoor on 7,8, on teekonna läbimise haavatavus, mis võimaldab ründajal käivitada koodi praeguse kasutaja kontekstis. Edukaks ärakasutamiseks peab sihtmärk külastama pahatahtlikku veebisaiti või avama spetsiaalselt loodud faili.
Sisukord
Vea ja paranduse oleku üksikasjad
RARLAB lahendas selle haavatavuse WinRAR 7.12 versioonis, mis avaldati 2025. aasta juunis. Viga mõjutab ainult Windowsi-põhiseid versioone; Unixi, Androidi ja teiste platvormide versioonid jäävad puutumata.
See haavatavus võimaldab ründajatel paigutada faile tundlikesse süsteemi asukohtadesse, näiteks Windowsi käivituskausta, mis võib järgmisel süsteemi sisselogimisel käivitada tahtmatu koodi käivitamise.
Ohuteguri tegevus
Mitmed küberturvalisuse aruanded näitavad, et CVE-2025-6218 on ära kasutanud kolm erinevat ohutegijat:
- GOFFEE (Paberist Libahunt)
- Mõru (APT-C-08 / Manlinghua)
- Gamaredon
- GOFFEE kampaaniad
Väidetavalt ühendas GOFFEE 2025. aasta juulis CVE-2025-6218 ja CVE-2025-8088, mis on veel üks väga tõsine WinRAR-i teekonna läbimise haavatavus (CVSS skoor 8,8), et sihikule võtta organisatsioone andmepüügikirjade kaudu. Need rünnakud viitavad koordineeritud ja keerukale püüdlusele rikkuda ettevõtte keskkonda.
Kibe APT ärakasutamine
Lõuna-Aasiale keskendunud APT rühmitus Bitter kasutas haavatavust relvana, et säilitada nakatunud süsteemides püsivust ja levitada kerge allalaadija abil C# trooja. Rünnak hõlmab RAR-arhiivi nimega Provision of Information for Sectoral for AJK.rar, mis sisaldab healoomulist Wordi dokumenti ja pahatahtlikku makromalli.
Rünnaku peamised mehaanikad hõlmavad järgmist:
- Normal.dotm lisamine Microsoft Wordi globaalsesse malliteed, tagades makro automaatse täitmise iga kord, kui Word avatakse.
- Standardsete e-posti makrokaitsetest möödahiilimine dokumentide puhul, mis saabusid pärast ohtu sattumist.
- Võimaldades troojalasel ühendust võtta välise C2 serveriga aadressil johnfashionaccess.com, hõlbustades klahvilogimist, ekraanipiltide jäädvustamist, RDP volituste vargust ja failide väljafiltreerimist.
Neid arhiive levitatakse peamiselt odavõngimise kampaaniate kaudu.
Gamaredoni ärakasutamine
Venemaaga seotud Gamaredoni grupp on kasutanud ka CVE-2025-6218 turvaauke andmepüügikampaaniates, mis on suunatud Ukraina sõjaväe-, valitsus-, poliitiliste ja haldusüksuste vastu. Pahavara, hüüdnimega Pteranodon, märgati esmakordselt 2025. aasta novembris.
Tõendid näitavad, et see ei ole oportunistlik tegevus. See kujutab endast struktureeritud, sõjaliselt orienteeritud spionaaži ja sabotaaži, mida tõenäoliselt koordineerib Venemaa riiklik luure. Lisaks on Gamaredon kuritarvitanud CVE-2025-8088, et levitada Visual Basic Scripti pahavara ja juurutada hävitavat puhastit nimega GamaWiper, mis tähistab grupi esimest täheldatud üleminekut spionaažilt hävitavatele operatsioonidele.
Turvameeskondadele mõeldud õppetunnid
Organisatsioonid ja turvameeskonnad peaksid seadma prioriteediks järgmised tegevused:
- Veenduge, et kõik WinRAR-i kasutavad Windowsi süsteemid oleksid värskendatud versioonile 7.12 või uuemale.
- Olge valvsad andmepüügikampaaniate suhtes, eriti RAR-arhiive või Wordi dokumente sisaldavate odavõngitsuskirjade suhtes.
- Jälgige kahtlast tegevust, mis viitab püsivatele tagaustele, klahvilogimisele või C2-suhtluse katsetele.
- Tunnistage, et riigi toetatud osalejad võivad sihipäraste rünnakute jaoks kombineerida mitut haavatavust.
Ennetav turvapaigaldus, e-posti turvalisuse hügieen ja lõpp-punktide jälgimine on kriitilise tähtsusega nende keerukate ohtude leevendamiseks ja ärakasutatud haavatavuste (nt CVE-2025-6218) operatiivse mõju piiramiseks.
