פגיעות CVE-2025-8088 ב-WinRAR

חוקרי אבטחה חשפו ניצול נרחב של פגיעות קריטית שכבר תוקנה בתוכנת RARLAB WinRAR על ידי מספר גורמי איום. הן יריבים ממדינות לאום והן קבוצות בעלות מוטיבציה כלכלית מינפו את הפגם כדי לקבל גישה ראשונית לסביבות יעד ולפרוס מגוון רחב של מטענים זדוניים. למרות שתוקנה ביולי 2025, הפגיעות ממשיכה להיות מנוצלת לרעה במגוון פעולות, מה שמדגיש סיכונים מתמשכים הקשורים לתוכנה שלא תוקנה.

CVE-2025-8088: סקירה טכנית והשפעה

הפגיעות, שסומנה כ-CVE-2025-8088 עם ציון CVSS של 8.8, טופלה בגרסה 7.13 של WinRAR, שפורסמה ב-30 ביולי 2025. ניצול מאפשר ביצוע קוד שרירותי באמצעות קבצי ארכיון בעלי מבנה מיוחד שנפתחו בגרסאות פגיעות של התוכנה. שורש הפגיעות הוא פגם במעבר נתיבים המאפשר לתוקפים לשחרר קבצים למיקומים רגישים, בעיקר תיקיית ההפעלה של Windows, מה שמאפשר התמדה חשאית וביצוע אוטומטי לאחר הפעלה מחדש של המערכת וכניסת משתמש.

טכניקת ניצול זו משקפת פער הגנתי רחב יותר בהיגיינת אבטחת יישומים בסיסית ובמודעות של משתמשי הקצה.

מיום אפס ליום נ': התפתחות ההתקפות

הפגם נוצל כ-zero-day כבר ב-18 ביולי 2025, בעיקר על ידי קבוצת האיומים הדו-מוטיבציונית RomCom (הידועה גם בשם CIGAR או UNC4895). פעולות אלו סיפקו גרסה של הנוזקה SnipBot (NESTPACKER). חוקרים מקשרים גם פעילות קשורה לאשכול שעוקב כ-UNC2596, אשר נקשר לפריסת תוכנות כופר בקובה.

לאחר חשיפה פומבית ותיקון תקנים, הפגיעות הפכה במהירות ל"יום n" מנוצל באופן נרחב, כאשר תוקפים הטמיעו קבצים זדוניים, לרוב מטענים של קיצורי דרך של Windows (LNK) המוסתרים בזרמי נתונים חלופיים (ADS), בתוך תוכן דמה. לאחר החילוץ, קבצים אלה ממוקמים בנתיבי מערכת קבועים מראש ומופעלים אוטומטית לאחר אתחול מחדש.

פעולות מדינתיות מרחיבות את הניצול

מספר קבוצות איום הקשורות לממשלה שילבו את CVE-2025-8088 בקמפיינים פעילים. גורמים הקשורים לרוסיה, בפרט, השתמשו בפיתיונות מותאמים אישית ובמטעני משניים כדי לקדם הן ריגול והן מטרות משבשות:

• תולעת חול (הידועה גם בשם APT44 או FROZENBARENTS) פרסה ארכיונים המכילים קבצי פיתיון בנושא אוקראינה לצד מטעוני LNK זדוניים שנועדו לאחזר רכיבים נוספים.
• גמארדון (הידוע גם בשם CARPATHIAN) תקף גופים ממשלתיים אוקראינים באמצעות ארכיוני RAR שסיפקו הורדות של יישומי HTML (HTA) כשלב ראשון.

במקביל, גורם איום מסין השתמש באותה פגיעות כדי להתקין את Poison Ivy, באמצעות סקריפט אצווה שנכנס לתיקיית ההפעלה של Windows ותצורתו מוגדרת לאחזר דרופר משני.

קמפיינים ממניעים כלכליים ומיקוד מסחרי

קבוצות פושעי סייבר אימצו במהירות את הפגיעות כדי לפרוס סוסים טרויאניים לגישה מרחוק (RATs) וגנבי מידע כנגד קורבנות מסחריים. בין המטענים שנצפו נכללו דלתות אחוריות הנשלטות על ידי בוטים של טלגרם, כמו גם משפחות של תוכנות זדוניות כמו AsyncRAT ו-XWorm.

בקמפיין בולט אחד, קבוצת פשעי סייבר הידועה במיקוד במשתמשים ברזילאים הפיצה תוסף זדוני של Chrome. תוסף זה הזריק JavaScript לדפים של שני אתרי אינטרנט בנקאיים ברזילאים כדי להציג תוכן פישינג ולאסוף פרטי משתמש, ובכך מדגים את הגמישות של הגישה הראשונית שהושגה באמצעות ניצול WinRAR.

שווקים תת-קרקעיים וסחורות של ניצולים

ההערכות הן שהאימוץ המהיר והרחב של CVE-2025-8088 נובע מכלכלה תת-קרקעית משגשגת של ניצול נוזקות. דווח כי ניצול נוזקות של WinRAR פורסם תמורת אלפי דולרים, מה שהוריד את מחסום הכניסה עבור מגוון רחב של גורמים. ספק שפעל תחת שם הבדוי 'zeroplayer' שיווק ניצול נוזקות של WinRAR בשבועות שקדמו לחשיפת CVE-2025-8088 לציבור.

תפקידה המתמשך של Zeroplayer כספקית במעלה הזרם ממחיש את הפיכת מחזור חיי ההתקפה לסחורה, כאשר יכולות ניצול מוכן לשימוש מפחיתות את עלויות הפיתוח ומאפשרות לקבוצות בעלות מניעים מגוונים לבצע פעולות מתוחכמות.

דפוס רחב יותר: פגמים נוספים ב-WinRAR תחת מתקפה

פעילות זו מתרחשת במקביל לניסיונות ניצול כנגד פגיעות נוספת ב-WinRAR, CVE-2025-6218 (ציון CVSS: 7.8). גורמי איום מרובים, כולל GOFFEE, Bitter ו-Gamaredon, נצפו ממנפים את הפגם הנפרד הזה, מה שמחזק את האיום המתמשך שמציב פגיעויות n-day ואת המהירות שבה יריבים מממשים חולשות חדשות שנחשפו.

השלכות אסטרטגיות על המגינים

ניצול לרעה מתמשך של פגיעויות WinRAR מתוקנות מדגיש את החשיבות של ניהול תיקונים בזמן, הכשרת מודעות משתמשים וניטור מנגנוני שמירה כגון קבצים לא מורשים בתיקיות אתחול. ההתכנסות של ניצול בחסות מדינה וניצול פלילי מדגים עוד יותר עד כמה מהר פגיעויות קריטיות הופכות למשאבים משותפים ברחבי נוף האיומים.