פגיעות ב-WinRAR CVE-2025-6218

הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) הוסיפה רשמית פגם אבטחה בכלי העזר WinRAR לארכיון קבצים ודחיסה לקטלוג הפגיעויות המנוצלות (KEV) שלה. הסוכנות ציטטה ראיות לכך שהפגיעות מנוצלת באופן פעיל, מה שמעלה חששות בקרב ארגונים ומשתמשים פרטיים כאחד.

הפגם, שסומן כ-CVE-2025-6218 עם ציון CVSS של 7.8, הוא פגיעות של חציית נתיבים המאפשרת לתוקף לבצע קוד בהקשר של המשתמש הנוכחי. ניצול מוצלח דורש שהמטרה תבקר באתר אינטרנט זדוני או תפתח קובץ שנוצר במיוחד.

פרטי הפגם וסטטוס התיקון

RARLAB טיפלה בפגיעות זו ב-WinRAR 7.12, שיצא ביוני 2025. הפגם משפיע רק על גרסאות מבוססות Windows; גרסאות עבור יוניקס, אנדרואיד ופלטפורמות אחרות נותרות ללא שינוי.

הפגיעות מאפשרת לתוקפים למקם קבצים במיקומים רגישים במערכת, כגון תיקיית ההפעלה של Windows, מה שעלול להפעיל ביצוע קוד לא מכוון בעת הכניסה הבאה למערכת.

פעילות גורם האיום

דוחות מרובים של אבטחת סייבר מצביעים על כך ש-CVE-2025-6218 נוצל על ידי שלושה גורמי איום נפרדים:

• גופי (איש זאב מנייר)
• ביטר (APT-C-08 / מנלינגהואה)
• גמארדון
• קמפיינים של GOFFEE

ביולי 2025, GOFFEE לכאורה שילבה את CVE-2025-6218 עם CVE-2025-8088, פגיעות נוספת בחומרה גבוהה של חציית נתיבים ב-WinRAR (ציון CVSS 8.8), כדי למקד ארגונים באמצעות הודעות דוא"ל פישינג. התקפות אלו מצביעות על מאמץ מתואם ומתוחכם לפגוע בסביבות ארגוניות.

ניצול APT מר

Bitter, קבוצת APT המתמקדת בדרום אסיה, ניצלה את הפגיעות כדי לשמור על נוכחות במערכות פרוצות ולפרוס טרויאני C# באמצעות הורדה קלת משקל. ההתקפה כוללת ארכיון RAR בשם Provision of Information for Sectoral for AJK.rar, המכיל מסמך Word שפיר ותבנית מאקרו זדונית.

מכניקות מפתח של ההתקפה כוללות:

• הסרת הקובץ Normal.dotm בנתיב התבנית הגלובלי של Microsoft Word, תוך הבטחה שהמאקרו יבוצע אוטומטית בכל פעם ש-Word נפתח.
• עקיפת הגנות מאקרו סטנדרטיות בדוא"ל עבור מסמכים שהתקבלו לאחר פגיעה.

• מתן אפשרות לטרויאני ליצור קשר עם שרת C2 חיצוני ב-johnfashionaccess.com, תוך הקלה על רישום מקשים, צילום מסך, גניבת אישורי RDP וחילוץ קבצים.

ארכיונים אלה מופצים בעיקר באמצעות קמפיינים של פישינג מסוג ספיר.

ניצול גמארדון

קבוצת גמארדון, המסונפת לרוסיה, מינפה גם היא את CVE-2025-6218 בקמפיינים של פישינג המכוונים נגד גופים צבאיים, ממשלתיים, פוליטיים ומנהליים אוקראינים. הנוזקה, שכונתה Pteranodon, נצפתה לראשונה בנובמבר 2025.

ראיות מצביעות על כך שזו אינה פעילות אופורטוניסטית. היא מייצגת ריגול וחבלה מובנים בעלי אוריינטציה צבאית, ככל הנראה בתיאום על ידי המודיעין הממלכתי הרוסי. בנוסף, גמארדון ניצל לרעה את CVE-2025-8088 כדי להעביר תוכנה זדונית של Visual Basic Script ולפרוס מחק הרסני בשם GamaWiper, ובכך סימן את המעבר הראשון שנצפה על ידי הקבוצה מריגול לפעולות הרסניות.

נקודות מבט לצוותי אבטחה

ארגונים וצוותי אבטחה צריכים לתעדף את הפעולות הבאות:

• ודא שכל מערכות Windows המריצות את WinRAR מעודכנות לגרסה 7.12 או גרסה מתקדמת יותר.
• הישאר ערני מפני קמפיינים של פישינג, במיוחד מיילים מסוג "Spear-פישינג" המכילים ארכיוני RAR או מסמכי Word.
• נטר פעילות חשודה המעידה על דלתות אחוריות מתמשכות, רישום מקשים או ניסיונות תקשורת C2.
• הכרה בכך שגורמים בחסות מדינה עשויים לשלב מספר פגיעויות לצורך התקפות ממוקדות.

תיקון מערכות יזום, היגיינת אבטחת דוא"ל וניטור נקודות קצה הם קריטיים להפחתת איומים מתקדמים אלה ולהגבלת ההשפעה התפעולית של פגיעויות מנוצלות כמו CVE-2025-6218.