Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Sebezhetőség WinRAR sebezhetőség (CVE-2025-6218)

WinRAR sebezhetőség (CVE-2025-6218)

Mezo -ra Sebezhetőség, Advanced Persistent Threat (APT)-ben
Fordítás ide:

Az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) hivatalosan is felvette a WinRAR fájlarchiváló és tömörítő segédprogramban található biztonsági rést az ismert kihasznált sebezhetőségek (KEV) katalógusába. Az ügynökség bizonyítékokra hivatkozott, amelyek arra utalnak, hogy a sebezhetőséget aktívan kihasználják, ami aggodalmat kelt mind a szervezetek, mind az egyéni felhasználók körében.

A CVE-2025-6218 azonosítójú, 7,8-as CVSS pontszámmal rendelkező hiba egy útvonalbejárásos sebezhetőség, amely lehetővé teszi a támadó számára, hogy kódot futtasson az aktuális felhasználó kontextusában. A sikeres kihasználáshoz a célpontnak vagy meg kell látogatnia egy rosszindulatú weboldalt, vagy meg kell nyitnia egy speciálisan létrehozott fájlt.

A hiba és a javítás állapotának részletei

A RARLAB a 2025 júniusában kiadott WinRAR 7.12-es verzióban javította ki ezt a sebezhetőséget. A hiba csak a Windows alapú verziókat érinti; a Unix, Android és más platformokra készült verziókat nem érinti.

A sebezhetőség lehetővé teszi a támadók számára, hogy fájlokat helyezzenek el érzékeny rendszerhelyeken, például a Windows Indítópult mappájában, ami potenciálisan nem kívánt kódfuttatást okozhat a következő rendszerbejelentkezéskor.

Fenyegető szereplő tevékenysége

Több kiberbiztonsági jelentés is arra utal, hogy a CVE-2025-6218 vírust három különböző fenyegető szereplő használta ki:

  • GOFFEE (Papírfarkas)
  • Keserű (APT-C-08 / Manlinghua)
  • Gamaredon
  • GOFFEE kampányok

2025 júliusában a GOFFEE állítólag kombinálta a CVE-2025-6218-at a CVE-2025-8088-cal, egy másik magas súlyosságú WinRAR útvonalbejárási sebezhetőséggel (CVSS pontszám 8,8), hogy adathalász e-mailekkel célozza meg a szervezeteket. Ezek a támadások egy összehangolt és kifinomult erőfeszítésre utalnak a vállalati környezet feltörésére.

Keserű APT kizsákmányolás

A Bitter, egy dél-ázsiai fókuszú APT csoport, fegyverként használta fel a sebezhetőséget, hogy fenntartsa a perzisztenciát a feltört rendszereken, és egy könnyű letöltővel C# trójai vírust telepítsen. A támadás egy Provision of Information for Sectoral for AJK.rar nevű RAR archívumot érint, amely egy ártalmatlan Word dokumentumot és egy rosszindulatú makró sablont tartalmaz.

A támadás főbb mechanizmusai a következők:

  • A Normal.dotm fájl beillesztése a Microsoft Word globális sablonútvonalába, biztosítva, hogy a makró minden alkalommal automatikusan végrehajtódjon, amikor a Word megnyílik.
  • A szabványos e-mail makróvédelmek megkerülése a kompromittálás után fogadott dokumentumok esetében.
  • Lehetővé teszi a trójai számára, hogy kapcsolatba lépjen egy külső C2 szerverrel a johnfashionaccess.com címen, elősegítve a billentyűleütés-naplózást, a képernyőképek rögzítését, az RDP hitelesítő adatok ellopását és a fájlok ellopását.

Ezeket az archívumokat elsősorban célzott adathalász kampányok révén terjesztik.

Gamaredon kiaknázása

Az orosz kötődésű Gamaredon csoport a CVE-2025-6218-as vírust is felhasználta adathalász kampányokban, amelyek ukrán katonai, kormányzati, politikai és közigazgatási szervezeteket céloztak meg. A Pteranodon névre keresztelt rosszindulatú programot először 2025 novemberében figyelték meg.

A bizonyítékok arra utalnak, hogy ez nem egy opportunista tevékenység. Strukturált, katonai célú kémkedést és szabotázst képvisel, amelyet valószínűleg az orosz állami hírszerzés koordinál. Ezenkívül a Gamaredon a CVE-2025-8088 sérülékenységet kihasználva Visual Basic Script rosszindulatú programot juttatott el, és egy GamaWiper nevű romboló törlőt telepített, ami a csoport első megfigyelt átmenete a kémkedésről a romboló műveletekre.

Tanulságok biztonsági csapatok számára

A szervezeteknek és a biztonsági csapatoknak a következő intézkedéseket kell prioritásként kezelniük:

  • Győződjön meg arról, hogy az összes WinRAR-t futtató Windows rendszer 7.12-es vagy újabb verzióra van frissítve.
  • Maradjon éber az adathalász kampányokkal szemben, különösen az adathalász e-mailekkel szemben, amelyek RAR archívumokat vagy Word dokumentumokat tartalmaznak.
  • Figyelje a gyanús tevékenységeket, amelyek tartós hátsó ajtókra, billentyűnaplózásra vagy C2 kommunikációs kísérletekre utalnak.
  • Ismerd fel, hogy az állam által támogatott szereplők több sebezhetőséget kombinálhatnak a célzott támadások érdekében.

A proaktív javítások telepítése, az e-mail biztonsági higiénia és a végpontok monitorozása kritikus fontosságú ezen fejlett fenyegetések mérsékléséhez és a kihasznált sebezhetőségek, például a CVE-2025-6218 működési hatásának korlátozásához.

Felkapott

Legnézettebb

Betöltés...