WinRAR भेद्यता CVE-2025-6218

अमेरिकी साइबर सुरक्षा और अवसंरचना सुरक्षा एजेंसी (CISA) ने WinRAR फ़ाइल आर्काइवर और कम्प्रेशन यूटिलिटी में मौजूद एक सुरक्षा खामी को अपनी ज्ञात उपयोग की गई कमजोरियों (KEV) की सूची में औपचारिक रूप से शामिल कर लिया है। एजेंसी ने इस बात के प्रमाण प्रस्तुत किए हैं कि इस खामी का सक्रिय रूप से दुरुपयोग किया जा रहा है, जिससे संगठनों और व्यक्तिगत उपयोगकर्ताओं दोनों के लिए चिंताएं बढ़ गई हैं।

इस खामी को CVE-2025-6218 के रूप में ट्रैक किया गया है और इसका CVSS स्कोर 7.8 है। यह एक पाथ ट्रैवर्सल भेद्यता है जो हमलावर को वर्तमान उपयोगकर्ता के संदर्भ में कोड निष्पादित करने की अनुमति देती है। इसके सफल शोषण के लिए आवश्यक है कि लक्षित उपयोगकर्ता या तो किसी दुर्भावनापूर्ण वेबसाइट पर जाए या एक विशेष रूप से तैयार की गई फ़ाइल खोले।

खामी और उसके समाधान की स्थिति का विवरण

RARLAB ने जून 2025 में जारी WinRAR 7.12 में इस खामी को दूर कर दिया है। यह खामी केवल विंडोज-आधारित संस्करणों को प्रभावित करती है; यूनिक्स, एंड्रॉइड और अन्य प्लेटफार्मों के संस्करण अप्रभावित रहते हैं।

इस भेद्यता के कारण हमलावर संवेदनशील सिस्टम स्थानों, जैसे कि विंडोज स्टार्टअप फ़ोल्डर में फ़ाइलें रख सकते हैं, जिससे अगली बार सिस्टम में लॉगिन करने पर अनपेक्षित कोड निष्पादन शुरू हो सकता है।

खतरे पैदा करने वाले तत्वों की गतिविधि

कई साइबर सुरक्षा रिपोर्टों से संकेत मिलता है कि CVE-2025-6218 का तीन अलग-अलग हमलावरों द्वारा दुरुपयोग किया गया है:

• गोफी (कागज़ का वेयरवोल्फ)
• बिटर (एपीटी-सी-08 / मैनलिंगहुआ)
• गैमारेडॉन
• गोफी अभियान

जुलाई 2025 में, GOFFEE ने कथित तौर पर CVE-2025-6218 और CVE-2025-8088 (एक अन्य उच्च-गंभीरता वाली WinRAR पथ ट्रैवर्सल भेद्यता, CVSS स्कोर 8.8) को मिलाकर फ़िशिंग ईमेल के माध्यम से संगठनों को निशाना बनाया। ये हमले कॉर्पोरेट वातावरण को भेदने के लिए एक समन्वित और परिष्कृत प्रयास का संकेत देते हैं।

बिटर एपीटी एक्सप्लॉयटेशन

दक्षिण एशिया पर केंद्रित एक APT समूह, बिटर ने इस भेद्यता का फायदा उठाकर प्रभावित सिस्टमों पर अपनी उपस्थिति बनाए रखी और एक हल्के डाउनलोडर का उपयोग करके C# ट्रोजन को तैनात किया। इस हमले में Provision of Information for Sectoral for AJK.rar नामक एक RAR आर्काइव शामिल है, जिसमें एक हानिरहित Word दस्तावेज़ और एक दुर्भावनापूर्ण मैक्रो टेम्पलेट मौजूद है।

इस हमले की प्रमुख कार्यप्रणाली में निम्नलिखित शामिल हैं:

• Normal.dotm को Microsoft Word के ग्लोबल टेम्प्लेट पाथ में डालने से यह सुनिश्चित होता है कि Word के हर बार खुलने पर मैक्रो स्वचालित रूप से निष्पादित हो।

ये अभिलेख मुख्य रूप से स्पीयर-फिशिंग अभियानों के माध्यम से वितरित किए जाते हैं।

गेमारेडॉन शोषण

रूस से संबद्ध गैमारेडॉन समूह ने यूक्रेनी सैन्य, सरकारी, राजनीतिक और प्रशासनिक संस्थाओं को निशाना बनाकर फ़िशिंग अभियानों में CVE-2025-6218 का भी इस्तेमाल किया है। पटेरानोडॉन नामक यह मैलवेयर पहली बार नवंबर 2025 में देखा गया था।

साक्ष्य बताते हैं कि यह कोई अवसरवादी गतिविधि नहीं है। यह सुनियोजित, सैन्य-उन्मुख जासूसी और तोड़फोड़ है, जिसे संभवतः रूसी राज्य खुफिया एजेंसी द्वारा समन्वित किया गया है। इसके अलावा, गैमारेडॉन ने CVE-2025-8088 का दुरुपयोग करके विजुअल बेसिक स्क्रिप्ट मैलवेयर पहुंचाया है और गामावाइपर नामक एक विनाशकारी वाइपर तैनात किया है, जो समूह द्वारा जासूसी से विनाशकारी अभियानों की ओर पहला संक्रमण दर्शाता है।

सुरक्षा टीमों के लिए मुख्य बातें

संगठनों और सुरक्षा टीमों को निम्नलिखित कार्यों को प्राथमिकता देनी चाहिए:

• सुनिश्चित करें कि WinRAR चलाने वाले सभी विंडोज सिस्टम संस्करण 7.12 या बाद के संस्करण में अपडेट किए गए हों।
• फिशिंग अभियानों, विशेष रूप से आरएआर आर्काइव या वर्ड डॉक्यूमेंट वाले स्पीयर-फिशिंग ईमेल से सावधान रहें।
• लगातार बैकडोर, कीलॉगिंग या सी2 संचार प्रयासों का संकेत देने वाली संदिग्ध गतिविधि पर नज़र रखें।
• यह पहचानें कि राज्य प्रायोजित तत्व लक्षित हमलों के लिए कई कमजोरियों को एक साथ जोड़ सकते हैं।

इन उन्नत खतरों को कम करने और CVE-2025-6218 जैसी कमजोरियों के शोषण के परिचालन प्रभाव को सीमित करने के लिए सक्रिय पैचिंग, ईमेल सुरक्षा स्वच्छता और एंडपॉइंट निगरानी महत्वपूर्ण हैं।