„WinRAR“ pažeidžiamumas CVE-2025-6218
JAV kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) oficialiai įtraukė „WinRAR“ failų archyvavimo ir glaudinimo įrankio saugumo spragą į savo žinomų išnaudotų pažeidžiamumų (KEV) katalogą. Agentūra pateikė įrodymų, kad pažeidžiamumas aktyviai išnaudojamas, o tai kelia susirūpinimą tiek organizacijoms, tiek individualiems vartotojams.
Šis trūkumas, identifikuotas kaip CVE-2025-6218, kurio CVSS įvertinimas yra 7,8, yra kelio apėjimo pažeidžiamumas, leidžiantis užpuolikui vykdyti kodą dabartinio vartotojo kontekste. Norint sėkmingai išnaudoti spragą, reikia, kad taikinys apsilankytų kenkėjiškoje svetainėje arba atidarytų specialiai sukurtą failą.
Turinys
Išsami informacija apie trūkumą ir pataisos būseną
„RARLAB“ išsprendė šią pažeidžiamumą „WinRAR 7.12“ versijoje, išleistoje 2025 m. birželio mėn. Šis trūkumas paveikia tik „Windows“ pagrindu sukurtas versijas; „Unix“, „Android“ ir kitų platformų versijos lieka nepakitusios.
Dėl šios pažeidžiamumo užpuolikai gali patalpinti failus jautriose sistemos vietose, tokiose kaip „Windows“ paleisties aplankas, ir tai gali sukelti netyčinį kodo vykdymą kitą kartą prisijungus prie sistemos.
Grėsmės veikėjo veikla
Kelios kibernetinio saugumo ataskaitos rodo, kad CVE-2025-6218 ataką išnaudojo trys skirtingi grėsmių subjektai:
- GOFFEE (Popierinis vilkolakis)
- Kartusis (APT-C-08 / Manlinghua)
- Gamaredonas
- GOFFEE kampanijos
Teigiama, kad 2025 m. liepą „GOFFEE“ sujungė CVE-2025-6218 su CVE-2025-8088 – dar viena labai pavojinga „WinRAR“ kelio apėjimo pažeidžiamumo ataka (CVSS balas 8,8), siekdama atakuoti organizacijas sukčiavimo el. laiškais. Šios atakos rodo koordinuotas ir sudėtingas pastangas pažeisti įmonių aplinką.
Kartus APT išnaudojimas
„Bitter“, Pietų Azijoje veikianti APT grupuotė, panaudojo pažeidžiamumą ginklu, kad išlaikytų jį pažeistose sistemose ir, naudodama lengvą atsisiuntimo programą, dislokuotų C# Trojos arklį. Ataka susijusi su RAR archyvu pavadinimu „Provision of Information for Sectoral for AJK.rar“, kuriame yra gerybinis „Word“ dokumentas ir kenkėjiškas makrokomandos šablonas.
Pagrindinė atakos mechanika apima:
- Įtraukiant „Normal.dotm“ į „Microsoft Word“ visuotinį šablono kelią, užtikrinama, kad makrokomanda būtų vykdoma automatiškai kiekvieną kartą atidarant „Word“.
- Apeinant standartines el. pašto makrokomandų apsaugas dokumentams, gautiems po pažeidimo.
- Įgalina Trojos arklį susisiekti su išoriniu C2 serveriu adresu johnfashionaccess.com, palengvindamas klavišų paspaudimų registravimą, ekrano kopijų darymą, RDP kredencialų vagystę ir failų nutekėjimą.
Šie archyvai daugiausia platinami per tikslines sukčiavimo kampanijas.
Gamaredono išnaudojimas
Su Rusija susijusi „Gamaredon“ grupuotė taip pat panaudojo CVE-2025-6218 sukčiavimo kampanijose, nukreiptose prieš Ukrainos karinius, vyriausybinius, politinius ir administracinius subjektus. Kenkėjiška programa, pavadinta „Pteranodon“, pirmą kartą buvo pastebėta 2025 m. lapkritį.
Įrodymai rodo, kad tai nėra oportunistinė veikla. Tai struktūrizuotas, karinis šnipinėjimas ir sabotažas, kurį greičiausiai koordinuoja Rusijos valstybės žvalgyba. Be to, „Gamaredon“ piktnaudžiavo CVE-2025-8088, kad platintų „Visual Basic Script“ kenkėjišką programą ir dislokuotų destruktyvų valytuvą pavadinimu „GamaWiper“, žymėdamas pirmąjį pastebėtą grupės perėjimą nuo šnipinėjimo prie destruktyvių operacijų.
Apsaugos komandų pamokos
Organizacijos ir saugumo komandos turėtų teikti pirmenybę šiems veiksmams:
- Įsitikinkite, kad visos „Windows“ sistemos, kuriose veikia „WinRAR“, yra atnaujintos į 7.12 arba naujesnę versiją.
- Būkite budrūs dėl sukčiavimo kampanijų, ypač dėl tikslinių sukčiavimo el. laiškų, kuriuose yra RAR archyvų arba „Word“ dokumentų.
- Stebėkite įtartiną veiklą, rodančią nuolatines „užpakalines duris“, klavišų paspaudimų registravimą ar C2 ryšio bandymus.
- Pripažinkite, kad valstybės remiami subjektai gali sujungti kelis pažeidžiamumus tikslinėms atakoms.
Proaktyvus pataisymų diegimas, el. pašto saugumo higiena ir galinių taškų stebėjimas yra labai svarbūs siekiant sušvelninti šias pažangias grėsmes ir apriboti išnaudotų pažeidžiamumų, tokių kaip CVE-2025-6218, operacinį poveikį.
