Monen lisenssin alennustarjous
Uhatietokanta Haavoittuvuus WinRAR-haavoittuvuus CVE-2025-6218

WinRAR-haavoittuvuus CVE-2025-6218

Vuonna Mezo vuonna Haavoittuvuus, Advanced Persistent Threat (APT)
Käännä:

Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvallisuusvirasto (CISA) on virallisesti lisännyt WinRAR-tiedostojen arkistointi- ja pakkausohjelman tietoturva-aukon tunnettujen hyödynnettyjen haavoittuvuuksien (KEV) luetteloonsa. Virasto mainitsi todisteita siitä, että haavoittuvuutta hyödynnetään aktiivisesti, mikä herättää huolta sekä organisaatioissa että yksittäisissä käyttäjissä.

Haavoittuvuus, jonka CVE-2025-6218-numero on CVSS-pistemäärä 7,8, on polun läpi kulkemiseen liittyvä haavoittuvuus, jonka avulla hyökkääjä voi suorittaa koodia nykyisen käyttäjän kontekstissa. Haavoittuvuuden hyödyntäminen edellyttää, että kohde joko vierailee haitallisella verkkosivustolla tai avaa erityisesti muodostetun tiedoston.

Tiedot virheestä ja korjauspäivityksen tilasta

RARLAB korjasi tämän haavoittuvuuden WinRAR 7.12 -versiossa, joka julkaistiin kesäkuussa 2025. Virhe vaikuttaa vain Windows-pohjaisiin versioihin; Unix-, Android- ja muiden alustojen versiot pysyvät ennallaan.

Haavoittuvuus mahdollistaa hyökkääjien sijoittaa tiedostoja arkaluontoisiin järjestelmäpaikkoihin, kuten Windowsin käynnistyskansioon, mikä voi laukaista tahattoman koodin suorittamisen seuraavan järjestelmään kirjautumisen yhteydessä.

Uhkatoimijan toiminta

Useat kyberturvallisuusraportit osoittavat, että kolme erillistä uhkatoimijaa on hyödyntänyt CVE-2025-6218-haavoittuvuutta:

  • GOFFEE (Paperi-ihmissusi)
  • Katkera (APT-C-08 / Manlinghua)
  • Gamaredon
  • GOFFEE-kampanjat

Heinäkuussa 2025 GOFFEE yhdisti väitetysti CVE-2025-6218:n ja CVE-2025-8088:n, jotka ovat toinen erittäin vakava WinRAR-polun läpäisyhaavoittuvuus (CVSS-pistemäärä 8,8), kohdistaakseen hyökkäyksiä organisaatioihin tietojenkalasteluviestien avulla. Nämä hyökkäykset viittaavat koordinoituun ja hienostuneeseen pyrkimykseen murtautua yritysympäristöihin.

Katkera APT-hyväksyntä

Etelä-Aasiaan keskittynyt APT-ryhmä Bitter käytti haavoittuvuutta aseena ylläpitääkseen haavoittuvuutta vaarantuneissa järjestelmissä ja asentaakseen C#-troijalaisen kevyen latausohjelman avulla. Hyökkäys koskee Provision of Information for Sectoral for AJK.rar -nimistä RAR-arkistoa, joka sisältää vaarattoman Word-asiakirjan ja haitallisen makromallin.

Hyökkäyksen keskeisiin mekaniikoihin kuuluvat:

  • Pudottamalla Normal.dotm-makron Microsoft Wordin globaaliin mallipohjaan varmistat, että makro suoritetaan automaattisesti aina, kun Word avataan.
  • Ohitetaan sähköpostin vakiomakrosuojaukset asiakirjoille, jotka vastaanotetaan tietomurron jälkeen.
  • Mahdollistaa troijalaisen yhteydenoton ulkoiseen C2-palvelimeen osoitteessa johnfashionaccess.com, mikä helpottaa näppäinpainallusten tallentamista, kuvakaappausten ottamista, RDP-tunnistetietojen varastamista ja tiedostojen vuotamista.

Näitä arkistoja levitetään pääasiassa tietojenkalastelukampanjoiden kautta.

Gamaredonin hyödyntäminen

Venäjällä kytköksissä oleva Gamaredon-ryhmä on myös hyödyntänyt CVE-2025-6218-haavoittuvuutta tietojenkalastelukampanjoissa, jotka on kohdistettu Ukrainan armeijan, hallituksen, poliittisiin ja hallinnollisiin yksiköihin. Pteranodoniksi nimetty haittaohjelma havaittiin ensimmäisen kerran marraskuussa 2025.

Todisteet viittaavat siihen, ettei kyseessä ole opportunistinen toiminta. Se edustaa strukturoitua, sotilaallisesti suuntautunutta vakoilua ja sabotaasia, jota todennäköisesti koordinoi Venäjän valtion tiedustelupalvelu. Lisäksi Gamaredon on väärinkäyttänyt CVE-2025-8088-haavoittuvuutta levittääkseen Visual Basic Script -haittaohjelmaa ja ottaakseen käyttöön tuhoisan GamaWiper-nimisen pyyhkijän, mikä on ryhmän ensimmäinen havaittu siirtyminen vakoilusta tuhoisiin operaatioihin.

Tietoturvatiimeille hyödyllistä tietoa

Organisaatioiden ja tietoturvatiimien tulisi priorisoida seuraavat toimenpiteet:

  • Varmista, että kaikki WinRARia käyttävät Windows-järjestelmät on päivitetty versioon 7.12 tai uudempaan.
  • Pysy valppaana tietojenkalastelukampanjoiden varalta, erityisesti RAR-arkistoja tai Word-asiakirjoja sisältävien tiedonkalastelusähköpostien varalta.
  • Tarkkaile epäilyttävää toimintaa, joka viittaa jatkuviin takaportteihin, näppäinpainallusten tallentamiseen tai C2-viestintäyrityksiin.
  • On tärkeää tunnistaa, että valtion tukemat toimijat voivat yhdistää useita haavoittuvuuksia kohdennettuja hyökkäyksiä varten.

Ennakoiva korjauspäivitys, sähköpostin suojaushygienia ja päätepisteiden valvonta ovat ratkaisevan tärkeitä näiden edistyneiden uhkien lieventämiseksi ja hyödynnettyjen haavoittuvuuksien, kuten CVE-2025-6218:n, operatiivisten vaikutusten rajoittamiseksi.

Trendaavat

Eniten katsottu

Ladataan...