Ranjivost WinRAR-a CVE-2025-6218
Američka agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA) službeno je dodala sigurnosni propust u uslužnom programu za arhiviranje i kompresiju datoteka WinRAR u svoj katalog poznatih iskorištenih ranjivosti (KEV). Agencija je navela dokaze da se ranjivost aktivno iskorištava, što izaziva zabrinutost i kod organizacija i kod pojedinačnih korisnika.
Propust, označen kao CVE-2025-6218 s CVSS ocjenom 7,8, je ranjivost koja omogućuje napadaču izvršavanje koda u kontekstu trenutnog korisnika. Uspješno iskorištavanje zahtijeva da meta posjeti zlonamjernu web stranicu ili otvori posebno izrađenu datoteku.
Sadržaj
Detalji o statusu greške i zakrpe
RARLAB je riješio ovu ranjivost u verziji WinRAR 7.12, objavljenoj u lipnju 2025. Greška utječe samo na verzije temeljene na Windowsu; verzije za Unix, Android i ostale platforme ostaju nepromijenjene.
Ranjivost omogućuje napadačima da smjeste datoteke na osjetljive lokacije u sustavu, poput mape za pokretanje sustava Windows, što potencijalno može pokrenuti neželjeno izvršavanje koda prilikom sljedeće prijave u sustav.
Aktivnost aktera prijetnje
Više izvješća o kibernetičkoj sigurnosti ukazuju na to da su CVE-2025-6218 iskoristila tri različita aktera prijetnje:
- GOFFEE (Papirnati vukodlak)
- Gorko (APT-C-08 / Manlinghua)
- Gamaredon
- GOFFEE kampanje
U srpnju 2025., GOFFEE je navodno kombinirao CVE-2025-6218 s CVE-2025-8088, još jednom vrlo ozbiljnom ranjivošću WinRAR-a (CVSS ocjena 8,8), kako bi ciljao organizacije putem phishing e-poruka. Ovi napadi sugeriraju koordinirani i sofisticirani napor za ugrožavanje korporativnih okruženja.
Gorko iskorištavanje APT-a
Bitter, APT grupa usmjerena na Južnu Aziju, iskoristila je ranjivost kao oružje kako bi održala postojanost na kompromitiranim sustavima i implementirala C# trojanca koristeći lagani program za preuzimanje. Napad uključuje RAR arhivu pod nazivom Provision of Information for Sectoral for AJK.rar, koja sadrži benigni Word dokument i zlonamjerni predložak makroa.
Ključne mehanike napada uključuju:
- Ubacivanjem datoteke Normal.dotm u globalnu putanju predloška programa Microsoft Word osigurava se automatsko izvršavanje makronaredbe svaki put kada se Word otvori.
- Zaobilaženje standardnih makro zaštita e-pošte za dokumente primljene nakon kompromitiranja.
- Omogućavanje trojanca da kontaktira vanjski C2 poslužitelj na johnfashionaccess.com, olakšavajući keylogging, snimanje zaslona, krađu RDP vjerodajnica i eksfiltraciju datoteka.
Ove arhive se prvenstveno distribuiraju putem spear-phishing kampanja.
Eksploatacija Gamaredona
Grupa Gamaredon povezana s Rusijom također je koristila CVE-2025-6218 u phishing kampanjama usmjerenim na ukrajinske vojne, vladine, političke i administrativne subjekte. Zlonamjerni softver, nazvan Pteranodon, prvi put je uočen u studenom 2025.
Dokazi ukazuju na to da se ne radi o oportunističkoj aktivnosti. Predstavlja strukturiranu, vojno orijentiranu špijunažu i sabotažu, vjerojatno koordiniranu od strane ruske državne obavještajne službe. Osim toga, Gamaredon je zloupotrijebio CVE-2025-8088 za isporuku zlonamjernog softvera Visual Basic Script i primjenu destruktivnog brisača pod nazivom GamaWiper, što označava prvi uočeni prijelaz grupe iz špijunaže u destruktivne operacije.
Zaključci za sigurnosne timove
Organizacije i sigurnosni timovi trebali bi dati prioritet sljedećim akcijama:
- Provjerite jesu li svi Windows sustavi koji koriste WinRAR ažurirani na verziju 7.12 ili noviju.
- Ostanite oprezni protiv phishing kampanja, posebno spear phishing e-poruka koje sadrže RAR arhive ili Word dokumente.
- Pratite sumnjive aktivnosti koje ukazuju na uporne pokušaje skrivenih otvaranja sustava, keylogging-a ili C2 komunikacije.
- Imajte na umu da akteri koje sponzorira država mogu kombinirati više ranjivosti za ciljane napade.
Proaktivno instaliranje zakrpa, higijena sigurnosti e-pošte i praćenje krajnjih točaka ključni su za ublažavanje ovih naprednih prijetnji i ograničavanje operativnog utjecaja iskorištenih ranjivosti poput CVE-2025-6218.
