Ranjivost CVE-2025-8088 u WinRAR-u
Sigurnosni istraživači otkrili su opsežno iskorištavanje sada zakrpane kritične ranjivosti u RARLAB WinRAR-u od strane više aktera prijetnji. I protivnici na razini nacionalnih država i financijski motivirane skupine iskoristili su propust kako bi dobili početni pristup ciljanim okruženjima i implementirali širok raspon zlonamjernih programa. Unatoč tome što je zakrpana u srpnju 2025., ranjivost se i dalje zloupotrebljava u različitim operacijama, što ističe trajne rizike povezane s nezakrpanim softverom.
Sadržaj
CVE-2025-8088: Tehnički pregled i utjecaj
Ranjivost, označena kao CVE-2025-8088 s CVSS ocjenom 8,8, riješena je u verziji WinRAR-a 7.13, objavljenoj 30. srpnja 2025. Iskorištavanje omogućuje proizvoljno izvršavanje koda putem posebno izrađenih arhivskih datoteka otvorenih u ranjivim verzijama softvera. Osnovni uzrok je greška u prolasku puta koja napadačima omogućuje ubacivanje datoteka na osjetljive lokacije, ponajviše u mapu Startup sustava Windows, omogućujući prikrivenu postojanost i automatsko izvršavanje nakon ponovnog pokretanja sustava i prijave korisnika.
Ova tehnika iskorištavanja odražava širi obrambeni jaz u osnovnoj sigurnosnoj higijeni aplikacija i svijesti krajnjih korisnika.
Od nultog dana do N-dana: Evolucija napada
Propust je iskorišten kao zero-day već 18. srpnja 2025., posebno od strane dvostruko motivirane skupine prijetnji RomCom (poznate i kao CIGAR ili UNC4895). Ove su operacije isporučile varijantu zlonamjernog softvera SnipBot (NESTPACKER). Istraživači također povezuju srodnu aktivnost s klasterom praćenim kao UNC2596, koji je povezan s implementacijama Cuba Ransomwarea.
Nakon javnog otkrivanja i zakrpa, ranjivost se brzo pretvorila u široko iskorištavanu ranjivost, s napadačima koji su ugrađivali zlonamjerne datoteke, često Windows prečace (LNK) skrivene u alternativnim tokovima podataka (ADS), unutar lažnog sadržaja. Nakon izdvajanja, te se datoteke smještaju u unaprijed određene sistemske putanje i automatski se pokreću nakon ponovnog pokretanja.
Operacije nacionalne države proširuju eksploataciju
Višestruke vladine skupine za prijetnje uključile su CVE-2025-8088 u aktivne kampanje. Akteri povezani s Rusijom, posebno, koristili su prilagođene mamce i sekundarne terete za unapređenje špijunaže i destruktivnih ciljeva:
- Sandworm (također poznat kao APT44 ili FROZENBARENTS) je postavio arhive koje sadrže datoteke mamaca s ukrajinskom tematikom uz zlonamjerne LNK datoteke osmišljene za dohvaćanje dodatnih komponenti.
- Gamaredon (također poznat kao CARPATHIAN) ciljao je ukrajinske vladine subjekte koristeći RAR arhive koje su kao prvu fazu isporučivale programe za preuzimanje HTML aplikacija (HTA).
- Turla (također poznata kao SUMMIT) zloupotrijebila je nedostatak za distribuciju zlonamjernog softvera STOCKSTAY, koristeći teme socijalnog inženjeringa povezane s ukrajinskom vojskom i aktivnostima dronovima.
Paralelno s tim, kineski napadač iskoristio je istu ranjivost kao oružje za instaliranje Poison Ivyja, koji se isporučuje putem skupne skripte koja se ubacuje u mapu Startup sustava Windows i konfigurira za preuzimanje sekundarnog droppera.
Financijski motivirane kampanje i komercijalno ciljanje
Kibernetičke kriminalne skupine brzo su usvojile ranjivost kako bi primijenile trojance za daljinski pristup (RAT) i kradljivce informacija protiv komercijalnih žrtava. Uočeni korisni sadržaji uključuju stražnja vrata kontrolirana botovima u Telegramu, kao i obitelji zlonamjernog softvera poput AsyncRAT-a i XWorma.
U jednoj značajnoj kampanji, skupina za kibernetički kriminal poznata po ciljanju brazilskih korisnika distribuirala je zlonamjerno proširenje za Chrome. Ovo proširenje ubrizgalo je JavaScript na stranice dviju brazilskih bankarskih web stranica kako bi prikazalo phishing sadržaj i prikupilo korisničke vjerodajnice, demonstrirajući fleksibilnost početnog pristupa dobivenog putem WinRAR exploita.
Podzemna tržišta i komodifikacija eksploata
Procjenjuje se da brzo i široko prihvaćanje CVE-2025-8088 proizlazi iz procvata podzemne ekonomije iskorištavanja. Navodno su se iskorištavanja WinRAR-a oglašavala za tisuće dolara, snižavajući prepreku ulasku za širok raspon aktera. Dobavljač koji posluje pod pseudonimom 'zeroplayer' plasirao je na tržište iskorištavanje WinRAR-a u tjednima koji su prethodili javnom otkrivanju CVE-2025-8088.
Zeroplayerova kontinuirana uloga kao uzvodnog pružatelja usluga ilustrira komodifikaciju životnog ciklusa napada, gdje mogućnosti iskorištavanja po principu "ključ u ruke" smanjuju troškove razvoja i omogućuju grupama s različitim motivacijama provođenje sofisticiranih operacija.
Širi obrazac: Dodatne WinRAR mane pod napadom
Ova aktivnost podudara se s pokušajima iskorištavanja druge ranjivosti WinRAR-a, CVE-2025-6218 (CVSS ocjena: 7,8). Više aktera prijetnji, uključujući GOFFEE, Bitter i Gamaredon, primijećeno je kako iskorištavaju ovu zasebnu ranjivost, pojačavajući kontinuiranu prijetnju koju predstavljaju n-dnevne ranjivosti i brzinu kojom protivnici operacionaliziraju novootkrivene slabosti.
Strateške implikacije za branitelje
Kontinuirana zloupotreba zakrpanih ranjivosti WinRAR-a naglašava važnost pravovremenog upravljanja zakrpama, obuke korisnika o osvješćivanju i praćenja mehanizama perzistencije poput neovlaštenih datoteka u pokretačkim direktorijima. Konvergencija državno sponzoriranog i kriminalnog iskorištavanja dodatno pokazuje koliko brzo kritične ranjivosti postaju zajednički resursi u cijelom krajoliku prijetnji.
