Vulnerabilità WinRAR CVE-2025-6218
La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha formalmente aggiunto una falla di sicurezza nell'utility di compressione e archiviazione file WinRAR al suo catalogo delle vulnerabilità note sfruttate (KEV). L'agenzia ha citato prove che la vulnerabilità sia attivamente sfruttata in natura, sollevando preoccupazioni sia per le organizzazioni che per i singoli utenti.
La falla, identificata come CVE-2025-6218 con un punteggio CVSS di 7,8, è una vulnerabilità di attraversamento del percorso che consente a un aggressore di eseguire codice nel contesto dell'utente corrente. Per sfruttarla con successo, è necessario che l'obiettivo visiti un sito web dannoso o apra un file appositamente creato.
Sommario
Dettagli del difetto e stato della patch
RARLAB ha risolto questa vulnerabilità in WinRAR 7.12, rilasciato nel giugno 2025. Il difetto riguarda solo le build basate su Windows; le versioni per Unix, Android e altre piattaforme rimangono inalterate.
La vulnerabilità consente agli aggressori di posizionare file in posizioni di sistema sensibili, come la cartella di avvio di Windows, innescando potenzialmente l'esecuzione indesiderata di codice al successivo accesso al sistema.
Attività dell’attore della minaccia
Numerosi report sulla sicurezza informatica indicano che CVE-2025-6218 è stato sfruttato da tre diversi attori della minaccia:
- GOFFEE (Lupo mannaro di carta)
- Amaro (APT-C-08 / Manlinghua)
- Gamaredon
- Campagne GOFFEE
Nel luglio 2025, GOFFEE avrebbe combinato CVE-2025-6218 con CVE-2025-8088, un'altra vulnerabilità di WinRAR ad alta gravità (punteggio CVSS 8,8), per colpire le organizzazioni tramite e-mail di phishing. Questi attacchi suggeriscono uno sforzo coordinato e sofisticato per compromettere gli ambienti aziendali.
Sfruttamento APT amaro
Bitter, un gruppo APT focalizzato sull'Asia meridionale, ha sfruttato la vulnerabilità per mantenere la persistenza sui sistemi compromessi e distribuire un trojan C# utilizzando un downloader leggero. L'attacco coinvolge un archivio RAR denominato Provision of Information for Sectoral for AJK.rar, contenente un documento Word innocuo e un modello di macro dannoso.
I meccanismi chiave dell'attacco includono:
- Inserendo Normal.dotm nel percorso del modello globale di Microsoft Word, si garantisce che la macro venga eseguita automaticamente ogni volta che si apre Word.
- Ignora le protezioni standard delle macro e-mail per i documenti ricevuti dopo la compromissione.
- Consente al trojan di contattare un server C2 esterno su johnfashionaccess.com, facilitando il keylogging, l'acquisizione di screenshot, il furto di credenziali RDP e l'esfiltrazione di file.
Questi archivi vengono diffusi principalmente tramite campagne di spear-phishing.
Sfruttamento di Gamaredon
Anche il gruppo Gamaredon, affiliato alla Russia, ha sfruttato il malware CVE-2025-6218 in campagne di phishing mirate a entità militari, governative, politiche e amministrative ucraine. Il malware, denominato Pteranodon, è stato osservato per la prima volta nel novembre 2025.
Le prove indicano che non si tratta di un'attività opportunistica. Si tratta di spionaggio e sabotaggio strutturati e di stampo militare, probabilmente coordinati dall'intelligence statale russa. Inoltre, Gamaredon ha abusato di CVE-2025-8088 per diffondere malware Visual Basic Script e implementare un wiper distruttivo denominato GamaWiper, segnando la prima transizione osservata del gruppo dallo spionaggio alle operazioni distruttive.
Punti chiave per i team di sicurezza
Le organizzazioni e i team di sicurezza dovrebbero dare priorità alle seguenti azioni:
- Assicurarsi che tutti i sistemi Windows che eseguono WinRAR siano aggiornati alla versione 7.12 o successiva.
- Prestare attenzione alle campagne di phishing, in particolare alle e-mail di spear-phishing contenenti archivi RAR o documenti Word.
- Monitorare attività sospette che indichino backdoor persistenti, keylogging o tentativi di comunicazione C2.
- Riconoscere che gli attori sponsorizzati dallo Stato possono combinare più vulnerabilità per attacchi mirati.
L'applicazione proattiva di patch, la sicurezza della posta elettronica e il monitoraggio degli endpoint sono essenziali per mitigare queste minacce avanzate e limitare l'impatto operativo delle vulnerabilità sfruttate come CVE-2025-6218.
