آسیب‌پذیری WinRAR با شناسه CVE-2025-6218

آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) رسماً یک نقص امنیتی در ابزار بایگانی فایل و فشرده‌سازی WinRAR را به فهرست آسیب‌پذیری‌های شناخته‌شده‌ی مورد سوءاستفاده (KEV) خود اضافه کرده است. این آژانس به شواهدی اشاره کرد که نشان می‌دهد این آسیب‌پذیری به‌طور فعال در سطح اینترنت مورد سوءاستفاده قرار می‌گیرد و نگرانی‌هایی را برای سازمان‌ها و کاربران شخصی ایجاد کرده است.

این نقص که با شناسه CVE-2025-6218 و امتیاز CVSS 7.8 ردیابی می‌شود، یک آسیب‌پذیری پیمایش مسیر است که به مهاجم اجازه می‌دهد کد را در متن کاربر فعلی اجرا کند. بهره‌برداری موفقیت‌آمیز مستلزم آن است که هدف یا از یک وب‌سایت مخرب بازدید کند یا یک فایل دستکاری‌شده خاص را باز کند.

جزئیات نقص و وضعیت وصله

RARLAB این آسیب‌پذیری را در WinRAR 7.12 که در ژوئن 2025 منتشر شد، برطرف کرد. این نقص فقط بر روی نسخه‌های مبتنی بر ویندوز تأثیر می‌گذارد؛ نسخه‌های یونیکس، اندروید و سایر پلتفرم‌ها تحت تأثیر قرار نگرفته‌اند.

این آسیب‌پذیری مهاجمان را قادر می‌سازد تا فایل‌ها را در مکان‌های حساس سیستم، مانند پوشه‌ی راه‌اندازی ویندوز، قرار دهند و به‌طور بالقوه باعث اجرای ناخواسته‌ی کد در ورود بعدی به سیستم شوند.

فعالیت عامل تهدید

گزارش‌های متعدد امنیت سایبری نشان می‌دهد که CVE-2025-6218 توسط سه عامل تهدید مجزا مورد سوءاستفاده قرار گرفته است:

• گافی (گرگ کاغذی)
• تلخ (APT-C-08 / مانلینگوا)
• گاماردون
• کمپین‌های گافی

در ژوئیه ۲۰۲۵، ظاهراً GOFFEE آسیب‌پذیری CVE-2025-6218 را با CVE-2025-8088، یکی دیگر از آسیب‌پذیری‌های پیمایش مسیر WinRAR با شدت بالا (نمره CVSS 8.8)، ترکیب کرد تا سازمان‌ها را از طریق ایمیل‌های فیشینگ هدف قرار دهد. این حملات نشان دهنده یک تلاش هماهنگ و پیچیده برای به خطر انداختن محیط‌های سازمانی است.

بهره‌برداری تلخ از APT

Bitter، یک گروه APT متمرکز بر جنوب آسیا، از این آسیب‌پذیری برای حفظ پایداری در سیستم‌های آسیب‌دیده و استقرار یک تروجان C# با استفاده از یک دانلودکننده سبک استفاده کرد. این حمله شامل یک بایگانی RAR به نام Provision of Information for Sectoral for AJK.rar است که حاوی یک سند Word بی‌خطر و یک الگوی ماکروی مخرب است.

مکانیک‌های کلیدی حمله عبارتند از:

• قرار دادن فایل Normal.dotm در مسیر الگوی سراسری مایکروسافت ورد، و اطمینان از اجرای خودکار ماکرو هر بار که ورد باز می‌شود.

این آرشیوها عمدتاً از طریق کمپین‌های فیشینگ هدفمند توزیع می‌شوند.

بهره‌برداری از گاماردون

گروه Gamaredon وابسته به روسیه نیز از آسیب‌پذیری CVE-2025-6218 در کمپین‌های فیشینگ خود استفاده کرده و نهادهای نظامی، دولتی، سیاسی و اداری اوکراین را هدف قرار داده است. این بدافزار که Pteranodon نام دارد، اولین بار در نوامبر 2025 مشاهده شد.

شواهد نشان می‌دهد که این یک فعالیت فرصت‌طلبانه نیست. این نشان‌دهنده‌ی جاسوسی و خرابکاری ساختاریافته و نظامی است که احتمالاً توسط اطلاعات دولتی روسیه هماهنگ می‌شود. علاوه بر این، Gamaredon از CVE-2025-8088 برای ارائه بدافزار Visual Basic Script و استقرار یک پاک‌کننده‌ی مخرب به نام GamaWiper سوءاستفاده کرده است که اولین گذار مشاهده‌شده‌ی این گروه از جاسوسی به عملیات مخرب را نشان می‌دهد.

نکات کلیدی برای تیم‌های امنیتی

سازمان‌ها و تیم‌های امنیتی باید اقدامات زیر را در اولویت قرار دهند:

• مطمئن شوید که تمام سیستم‌های ویندوزی که WinRAR روی آنها نصب است، به نسخه ۷.۱۲ یا بالاتر به‌روزرسانی شده‌اند.
• در برابر کمپین‌های فیشینگ، به ویژه ایمیل‌های فیشینگ هدفمند حاوی آرشیوهای RAR یا اسناد Word، هوشیار باشید.
• فعالیت‌های مشکوکی که نشان‌دهنده‌ی وجود درهای پشتی مداوم، کی‌لاگر یا تلاش‌های ارتباطی C2 هستند را زیر نظر داشته باشید.
• توجه داشته باشید که بازیگران تحت حمایت دولت ممکن است چندین آسیب‌پذیری را برای حملات هدفمند ترکیب کنند.

وصله‌های پیشگیرانه، بهداشت امنیت ایمیل و نظارت بر نقاط پایانی برای کاهش این تهدیدات پیشرفته و محدود کردن تأثیر عملیاتی آسیب‌پذیری‌های مورد سوءاستفاده مانند CVE-2025-6218 بسیار مهم هستند.