CVE-2025-8088 WinRAR भेद्यता

सुरक्षा शोधकर्ताओं ने RARLAB WinRAR में मौजूद एक गंभीर खामी का कई हमलावरों द्वारा व्यापक दुरुपयोग उजागर किया है, जिसे अब ठीक कर दिया गया है। राष्ट्र-राज्य विरोधी संगठनों और आर्थिक रूप से प्रेरित समूहों, दोनों ने ही इस खामी का लाभ उठाकर लक्षित वातावरणों तक प्रारंभिक पहुंच प्राप्त की और कई प्रकार के दुर्भावनापूर्ण पेलोड तैनात किए। जुलाई 2025 में पैच किए जाने के बावजूद, इस खामी का दुरुपयोग विभिन्न अभियानों में जारी है, जो अनपैच्ड सॉफ़्टवेयर से जुड़े लगातार जोखिमों को उजागर करता है।

CVE-2025-8088: तकनीकी अवलोकन और प्रभाव

इस खामी को CVE-2025-8088 के रूप में ट्रैक किया गया है, जिसका CVSS स्कोर 8.8 है। इसे 30 जुलाई, 2025 को जारी WinRAR संस्करण 7.13 में ठीक कर दिया गया था। इस खामी का फायदा उठाकर, सॉफ्टवेयर के असुरक्षित संस्करणों में विशेष रूप से तैयार की गई आर्काइव फाइलों को खोलकर मनमाना कोड निष्पादित किया जा सकता है। इसका मूल कारण एक पाथ ट्रैवर्सल खामी है, जो हमलावरों को संवेदनशील स्थानों, विशेष रूप से विंडोज स्टार्टअप फोल्डर में फाइलें डालने की अनुमति देती है। इससे सिस्टम के रीस्टार्ट होने और उपयोगकर्ता के लॉगिन करने पर चुपके से फाइलें मौजूद रहती हैं और स्वचालित रूप से निष्पादित हो जाती हैं।

शोषण की यह तकनीक बुनियादी एप्लिकेशन सुरक्षा स्वच्छता और अंतिम उपयोगकर्ता जागरूकता में व्यापक रक्षात्मक कमी को दर्शाती है।

जीरो-डे से एन-डे तक: हमलों का विकास

इस खामी का फायदा 18 जुलाई, 2025 को ही उठाया गया था, खासकर दोहरे मकसद वाले खतरे समूह रोमकॉम (जिसे CIGAR या UNC4895 के नाम से भी जाना जाता है) द्वारा। इन ऑपरेशनों के जरिए स्निपबॉट (NESTPACKER) मैलवेयर का एक प्रकार पहुंचाया गया। शोधकर्ताओं ने इससे जुड़ी गतिविधियों को UNC2596 नामक क्लस्टर से भी जोड़ा है, जिसका संबंध क्यूबा रैंसमवेयर के प्रसार से है।

सार्वजनिक रूप से खुलासा और पैचिंग के बाद, यह भेद्यता तेजी से व्यापक रूप से इस्तेमाल होने वाली एक खतरनाक प्रक्रिया में बदल गई, जिसमें हमलावर नकली सामग्री के अंदर दुर्भावनापूर्ण फाइलें, अक्सर विंडोज शॉर्टकट (LNK) पेलोड, वैकल्पिक डेटा स्ट्रीम (ADS) में छिपाकर रखते थे। एक बार निकाले जाने पर, ये फाइलें पूर्वनिर्धारित सिस्टम पथों में रखी जाती हैं और रीबूट के बाद स्वचालित रूप से सक्रिय हो जाती हैं।

राष्ट्र-राज्य संचालन शोषण को बढ़ाते हैं

सरकार से जुड़े कई खतरा समूहों ने सक्रिय अभियानों में CVE-2025-8088 को शामिल किया है। विशेष रूप से, रूस से जुड़े तत्वों ने जासूसी और विघटनकारी उद्देश्यों को आगे बढ़ाने के लिए अनुकूलित प्रलोभनों और द्वितीयक पेलोड का उपयोग किया है।

• सैंडवर्म (जिसे APT44 या FROZENBARENTS के नाम से भी जाना जाता है) ने यूक्रेनी-थीम वाली नकली फाइलों के साथ-साथ अतिरिक्त घटकों को प्राप्त करने के लिए डिज़ाइन किए गए दुर्भावनापूर्ण LNK पेलोड वाले अभिलेखागार तैनात किए।
• गैमारेडॉन (जिसे कार्पेथियन के नाम से भी जाना जाता है) ने आरएआर आर्काइव का उपयोग करके यूक्रेनी सरकारी संस्थाओं को निशाना बनाया, जो पहले चरण के रूप में एचटीएमएल एप्लिकेशन (एचटीए) डाउनलोडर प्रदान करते थे।

इसी बीच, चीन स्थित एक हमलावर ने इसी भेद्यता का फायदा उठाकर पॉइज़न आइवी को स्थापित कर दिया है, जिसे विंडोज स्टार्टअप फोल्डर में डाले गए एक बैच स्क्रिप्ट के माध्यम से पहुंचाया जाता है और इसे एक सेकेंडरी ड्रॉपर को पुनः प्राप्त करने के लिए कॉन्फ़िगर किया गया है।

वित्तीय रूप से प्रेरित अभियान और वाणिज्यिक लक्ष्यीकरण

साइबर अपराधी समूहों ने व्यावसायिक लक्ष्यों के विरुद्ध आम रिमोट एक्सेस ट्रोजन (आरएटी) और सूचना चुराने वाले मैलवेयर तैनात करने के लिए इस भेद्यता का तुरंत फायदा उठाया। देखे गए पेलोड में टेलीग्राम बॉट-नियंत्रित बैकडोर के साथ-साथ एसिंकआरएटी और एक्सवॉर्म जैसे मैलवेयर परिवार शामिल हैं।

एक उल्लेखनीय अभियान में, ब्राज़ीलियाई उपयोगकर्ताओं को निशाना बनाने के लिए कुख्यात एक साइबर अपराध समूह ने एक दुर्भावनापूर्ण क्रोम एक्सटेंशन वितरित किया। इस एक्सटेंशन ने दो ब्राज़ीलियाई बैंकिंग वेबसाइटों के पृष्ठों में जावास्क्रिप्ट इंजेक्ट करके फ़िशिंग सामग्री प्रस्तुत की और उपयोगकर्ता क्रेडेंशियल्स को चुरा लिया, जिससे विनआरएआर एक्सप्लॉइट के माध्यम से प्राप्त प्रारंभिक पहुँच की लचीलता प्रदर्शित हुई।

भूमिगत बाज़ार और शोषण का वस्तुकरण

CVE-2025-8088 के तेजी से और व्यापक रूप से फैलने का कारण एक फलते-फूलते अंडरग्राउंड एक्सप्लॉइट इकोनॉमी को माना जा रहा है। रिपोर्ट के अनुसार, WinRAR एक्सप्लॉइट्स का विज्ञापन हजारों डॉलर में किया जा रहा था, जिससे कई तरह के लोगों के लिए इसमें शामिल होना आसान हो गया। 'zeroplayer' नाम से काम करने वाले एक सप्लायर ने CVE-2025-8088 के सार्वजनिक होने से कुछ सप्ताह पहले ही WinRAR एक्सप्लॉइट का विपणन किया था।

जीरोप्लेयर की अपस्ट्रीम प्रदाता के रूप में निरंतर भूमिका हमले के जीवनचक्र के व्यावसायीकरण को दर्शाती है, जहां टर्नकी एक्सप्लॉइट क्षमताएं विकास लागत को कम करती हैं और विभिन्न उद्देश्यों वाले समूहों को परिष्कृत संचालन करने में सक्षम बनाती हैं।

एक व्यापक पैटर्न: WinRAR की अतिरिक्त खामियों पर हमले जारी

यह गतिविधि WinRAR की एक अन्य भेद्यता, CVE-2025-6218 (CVSS स्कोर: 7.8) के खिलाफ शोषण के प्रयासों के साथ मेल खाती है। GOFFEE, Bitter और Gamaredon सहित कई हमलावरों को इस अलग खामी का लाभ उठाते हुए देखा गया है, जो n-दिन की भेद्यताओं से उत्पन्न निरंतर खतरे और विरोधियों द्वारा नई उजागर कमजोरियों को तेजी से उपयोग में लाने की गति को और मजबूत करता है।

रक्षकों के लिए रणनीतिक निहितार्थ

पैच किए गए WinRAR की कमजोरियों का लगातार दुरुपयोग समय पर पैच प्रबंधन, उपयोगकर्ता जागरूकता प्रशिक्षण और स्टार्टअप निर्देशिकाओं में अनधिकृत फ़ाइलों जैसे निरंतरता तंत्रों की निगरानी के महत्व को रेखांकित करता है। राज्य-प्रायोजित और आपराधिक शोषण का अभिसरण यह भी दर्शाता है कि कैसे गंभीर कमजोरियां खतरे के परिदृश्य में तेजी से साझा संसाधन बन जाती हैं।