ភាពងាយរងគ្រោះ WinRAR CVE-2025-6218

ទីភ្នាក់ងារសន្តិសុខហេដ្ឋារចនាសម្ព័ន្ធ និងសន្តិសុខតាមអ៊ីនធឺណិតរបស់សហរដ្ឋអាមេរិក (CISA) បានបន្ថែមជាផ្លូវការនូវចំណុចខ្វះខាតសុវត្ថិភាពមួយនៅក្នុងកម្មវិធីរក្សាទុកឯកសារ WinRAR និងឧបករណ៍បង្ហាប់ទៅក្នុងកាតាឡុក Known Exploited Vulnerabilities (KEV) របស់ខ្លួន។ ទីភ្នាក់ងារនេះបានលើកឡើងពីភស្តុតាងដែលបង្ហាញថាចំណុចខ្វះខាតនេះកំពុងត្រូវបានកេងប្រវ័ញ្ចយ៉ាងសកម្មនៅក្នុងពិភពពិត ដែលបង្កើនការព្រួយបារម្ភសម្រាប់អង្គការ និងអ្នកប្រើប្រាស់ម្នាក់ៗ។

ចំណុចខ្សោយនេះ ដែលត្រូវបានតាមដានថាជា CVE-2025-6218 ជាមួយនឹងពិន្ទុ CVSS 7.8 គឺជាចំណុចខ្សោយនៃការឆ្លងកាត់ផ្លូវ ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារប្រតិបត្តិកូដនៅក្នុងបរិបទរបស់អ្នកប្រើប្រាស់បច្ចុប្បន្ន។ ការកេងប្រវ័ញ្ចដោយជោគជ័យ តម្រូវឱ្យគោលដៅចូលទៅកាន់គេហទំព័រដែលមានគំនិតអាក្រក់ ឬបើកឯកសារដែលបង្កើតឡើងជាពិសេស។

ព័ត៌មានលម្អិតអំពីស្ថានភាពកំហុស និងបំណះ

RARLAB បានដោះស្រាយភាពងាយរងគ្រោះនេះនៅក្នុង WinRAR 7.12 ដែលបានចេញផ្សាយក្នុងខែមិថុនា ឆ្នាំ 2025។ កំហុសនេះប៉ះពាល់ដល់តែការបង្កើតដែលមានមូលដ្ឋានលើ Windows ប៉ុណ្ណោះ។ កំណែសម្រាប់ Unix, Android និងវេទិកាផ្សេងទៀតនៅតែមិនរងផលប៉ះពាល់។

ចំណុចខ្សោយនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារដាក់ឯកសារនៅក្នុងទីតាំងប្រព័ន្ធដ៏រសើប ដូចជាថតឯកសារ Windows Startup ដែលអាចបង្កឱ្យមានការប្រតិបត្តិកូដដែលមិនបានគ្រោងទុកនៅពេលចូលប្រព័ន្ធលើកក្រោយ។

សកម្មភាព​របស់​អ្នក​គំរាមកំហែង

របាយការណ៍សន្តិសុខតាមអ៊ីនធឺណិតជាច្រើនបង្ហាញថា CVE-2025-6218 ត្រូវបានកេងប្រវ័ញ្ចដោយអ្នកគំរាមកំហែងបីនាក់ផ្សេងគ្នា៖

• ហ្គូហ្វី (មនុស្សចចកក្រដាស)
• ជូរចត់ (APT-C-08 / ម៉ាន់លីងហួ)
• ហ្គាម៉ារ៉េដុន
• យុទ្ធនាការ GOFFEE

នៅក្នុងខែកក្កដា ឆ្នាំ២០២៥ ក្រុមហ៊ុន GOFFEE ត្រូវបានគេចោទប្រកាន់ថាបានផ្សំ CVE-2025-6218 ជាមួយ CVE-2025-8088 ដែលជាចំណុចខ្សោយមួយផ្សេងទៀតរបស់ WinRAR ដ៏ធ្ងន់ធ្ងរ (ពិន្ទុ CVSS 8.8) ដើម្បីកំណត់គោលដៅអង្គការតាមរយៈអ៊ីមែលបន្លំ។ ការវាយប្រហារទាំងនេះបង្ហាញពីកិច្ចខិតខំប្រឹងប្រែងសម្របសម្រួល និងស្មុគស្មាញដើម្បីសម្របសម្រួលបរិយាកាសសាជីវកម្ម។

ការកេងប្រវ័ញ្ច APT ដ៏ជូរចត់

Bitter ដែលជាក្រុម APT ដែលផ្តោតលើអាស៊ីខាងត្បូង បានប្រើប្រាស់ភាពងាយរងគ្រោះនេះដើម្បីរក្សាស្ថេរភាពលើប្រព័ន្ធដែលរងការសម្របសម្រួល និងដាក់ពង្រាយមេរោគ C# trojan ដោយប្រើកម្មវិធីទាញយកទម្ងន់ស្រាល។ ការវាយប្រហារនេះពាក់ព័ន្ធនឹងបណ្ណសារ RAR ដែលមានឈ្មោះថា Provision of Information for Sectoral for AJK.rar ដែលមានឯកសារ Word ដែលមិនបង្កគ្រោះថ្នាក់ និងគំរូម៉ាក្រូដែលមានគំនិតអាក្រក់។

យន្តការសំខាន់ៗនៃការវាយប្រហាររួមមាន៖

• កំពុង​ទម្លាក់ Normal.dotm ទៅក្នុង​ផ្លូវ​គំរូ​សកល​របស់ Microsoft Word ដើម្បី​ធានា​ថា​ម៉ាក្រូ​នឹង​ប្រតិបត្តិ​ដោយ​ស្វ័យប្រវត្តិ​រាល់ពេល​ដែល Word ត្រូវ​បាន​បើក។

បណ្ណសារទាំងនេះត្រូវបានចែកចាយជាចម្បងតាមរយៈយុទ្ធនាការលួចបន្លំតាមអ៊ីនធឺណិត។

ការកេងប្រវ័ញ្ច Gamaredon

ក្រុម Gamaredon ដែលមានសម្ព័ន្ធភាពជាមួយរុស្ស៊ីក៏បានទាញយកអត្ថប្រយោជន៍ពី CVE-2025-6218 ក្នុងយុទ្ធនាការបន្លំបន្លំដែលកំណត់គោលដៅលើអង្គភាពយោធា រដ្ឋាភិបាល នយោបាយ និងរដ្ឋបាលអ៊ុយក្រែនផងដែរ។ មេរោគនេះ ដែលមានឈ្មោះថា Pteranodon ត្រូវបានគេសង្កេតឃើញជាលើកដំបូងនៅក្នុងខែវិច្ឆិកា ឆ្នាំ 2025។

ភស្តុតាងបង្ហាញថានេះមិនមែនជាសកម្មភាពឆ្លៀតឱកាសនោះទេ។ វាតំណាងឱ្យចារកម្ម និងការបំផ្លិចបំផ្លាញដែលមានរចនាសម្ព័ន្ធ និងមានទិសដៅយោធា ដែលទំនងជាសម្របសម្រួលដោយចារកម្មរដ្ឋរុស្ស៊ី។ លើសពីនេះ Gamaredon បានរំលោភបំពាន CVE-2025-8088 ដើម្បីចែកចាយមេរោគ Visual Basic Script និងដាក់ពង្រាយឧបករណ៍លុបទិន្នន័យដ៏បំផ្លិចបំផ្លាញមួយឈ្មោះថា GamaWiper ដែលជាការផ្លាស់ប្តូរដំបូងរបស់ក្រុមនេះពីប្រតិបត្តិការចារកម្មទៅជាប្រតិបត្តិការបំផ្លិចបំផ្លាញ។

ចំណុចសំខាន់ៗសម្រាប់ក្រុមសន្តិសុខ

អង្គការ និងក្រុមសន្តិសុខគួរតែផ្តល់អាទិភាពដល់សកម្មភាពដូចខាងក្រោម៖

• ត្រូវប្រាកដថាប្រព័ន្ធ Windows ទាំងអស់ដែលដំណើរការ WinRAR ត្រូវបានធ្វើបច្ចុប្បន្នភាពទៅកំណែ 7.12 ឬថ្មីជាងនេះ។
• ត្រូវប្រុងប្រយ័ត្នប្រឆាំងនឹងយុទ្ធនាការបន្លំបន្លំ ជាពិសេសអ៊ីមែលបន្លំបន្លំដែលមានផ្ទុកឯកសារ RAR ឬឯកសារ Word។
• តាមដានសកម្មភាពគួរឱ្យសង្ស័យដែលបង្ហាញពី backdoor ជាប់លាប់ ការកត់ត្រាគន្លឹះ ឬការប៉ុនប៉ងទំនាក់ទំនង C2។
• ត្រូវទទួលស្គាល់ថា តួអង្គដែលឧបត្ថម្ភដោយរដ្ឋអាចបញ្ចូលគ្នានូវភាពងាយរងគ្រោះច្រើនសម្រាប់ការវាយប្រហារគោលដៅ។

ការបិទភ្ជាប់ប្រកបដោយប្រសិទ្ធភាព អនាម័យសុវត្ថិភាពអ៊ីមែល និងការត្រួតពិនិត្យចំណុចបញ្ចប់ គឺមានសារៈសំខាន់ណាស់ក្នុងការកាត់បន្ថយការគំរាមកំហែងកម្រិតខ្ពស់ទាំងនេះ និងកំណត់ផលប៉ះពាល់ប្រតិបត្តិការនៃភាពងាយរងគ្រោះដែលត្រូវបានកេងប្រវ័ញ្ចដូចជា CVE-2025-6218។