CVE-2025-8088 WinRAR ievainojamība
Drošības pētnieki ir atklājuši plašu, tagad jau ielāpotas kritiskas RARLAB WinRAR ievainojamības izmantošanu, ko veic vairāki apdraudējumu dalībnieki. Gan valstu pretinieki, gan finansiāli ieinteresētas grupas ir izmantojušas šo trūkumu, lai iegūtu sākotnēju piekļuvi mērķa vidēm un izvietotu plašu ļaunprātīgu datu klāstu. Neskatoties uz to, ka ievainojamība tika ielāpota 2025. gada jūlijā, tā joprojām tiek ļaunprātīgi izmantota dažādās operācijās, izceļot pastāvīgos riskus, kas saistīti ar neielāpotu programmatūru.
Satura rādītājs
CVE-2025-8088: Tehniskais pārskats un ietekme
Ievainojamība, kas reģistrēta kā CVE-2025-8088 ar CVSS vērtējumu 8,8, tika novērsta WinRAR 7.13 versijā, kas izlaista 2025. gada 30. jūlijā. Izmantošana ļauj patvaļīgi izpildīt kodu, izmantojot speciāli izveidotus arhīva failus, kas atvērti ievainojamās programmatūras versijās. Galvenais iemesls ir ceļa šķērsošanas kļūda, kas ļauj uzbrucējiem ievietot failus sensitīvās vietās, jo īpaši Windows startēšanas mapē, nodrošinot nemanāmu saglabāšanu un automātisku izpildi pēc sistēmas restartēšanas un lietotāja pieteikšanās.
Šī ekspluatācijas metode atspoguļo plašāku aizsardzības plaisu pamata lietojumprogrammu drošības higiēnā un galalietotāju informētībā.
No nulles dienas līdz N dienai: uzbrukumu evolūcija
Šo trūkumu kā nulles dienas ievainojamību izmantoja jau 2025. gada 18. jūlijā, un to īpaši veica divējādas motivācijas apdraudējumu grupa RomCom (pazīstama arī kā CIGAR vai UNC4895). Šīs operācijas piegādāja SnipBot (NESTPACKER) ļaunprogrammatūras variantu. Pētnieki arī saista saistīto aktivitāti ar klasteri, kas izsekots kā UNC2596 un ir saistīts ar Kubas izspiedējvīrusa izvietošanu.
Pēc publiskas atklāšanas un ielāpu ieviešanas ievainojamība ātri pārtapa plaši izmantotā n-dienu ievainojamībā, uzbrucējiem mānekļa saturā ievietojot ļaunprātīgus failus, bieži vien Windows saīsnes (LNK) vērtumus, kas paslēpti alternatīvās datu plūsmās (ADS). Pēc izvilkšanas šie faili tiek ievietoti iepriekš noteiktos sistēmas ceļos un automātiski aktivizēti pēc pārstartēšanas.
Nacionālvalstu operācijas paplašina ekspluatāciju
Vairākas ar valdību saistītas apdraudējumu grupas ir iekļāvušas CVE-2025-8088 aktīvās kampaņās. Jo īpaši ar Krieviju saistīti dalībnieki ir izmantojuši pielāgotus ēsmas līdzekļus un sekundāro slodzi, lai veicinātu gan spiegošanu, gan graujošus mērķus:
- Sandworm (pazīstams arī kā APT44 vai FROZENBARENTS) izvietoja arhīvus, kas saturēja ar Ukrainas tematiku saistītus mānekļu failus, kā arī ļaunprātīgas LNK vērtspapīrus, kas paredzēti papildu komponentu izgūšanai.
- Gamaredon (pazīstams arī kā CARPATHIAN) uzbruka Ukrainas valdības iestādēm, izmantojot RAR arhīvus, kas pirmajā posmā piegādāja HTML lietojumprogrammu (HTA) lejupielādētājus.
- Turla (pazīstama arī kā SUMMIT) ļaunprātīgi izmantoja šo trūkumu, lai izplatītu STOCKSTAY ļaunprogrammatūras ietvaru, izmantojot sociālās inženierijas tēmas, kas saistītas ar Ukrainas militārajām un ar droniem saistītām aktivitātēm.
Paralēli Ķīnā bāzēts apdraudējumu izpildītājs ir pārvērtis to pašu ievainojamību par ieroci, lai instalētu Poison Ivy, izmantojot pakešskriptu, kas ievietots Windows startēšanas mapē un konfigurēts sekundārā nomešanas programmas ielādei.
Finansiāli motivētas kampaņas un komerciāla mērķauditorijas atlase
Kibernoziedznieku grupas ātri izmantoja šo ievainojamību, lai pret komerciāliem upuriem izvietotu attālās piekļuves Trojas zirgus (RAT) un informācijas zagļus. Novēroto vērtumu vidū ir Telegram botu kontrolētas aizmugurējās durvis, kā arī ļaunprogrammatūru saimes, piemēram, AsyncRAT un XWorm.
Vienā ievērojamā kampaņā kibernoziedznieku grupa, kas pazīstama ar Brazīlijas lietotāju mērķauditorijas uzlaušanu, izplatīja ļaunprātīgu Chrome paplašinājumu. Šis paplašinājums divu Brazīlijas banku vietņu lapās ievadīja JavaScript kodu, lai parādītu pikšķerēšanas saturu un iegūtu lietotāju akreditācijas datus, demonstrējot sākotnējās piekļuves elastību, kas iegūta, izmantojot WinRAR ievainojamību.
Pazemes tirgi un ekspluatācijas komercializācija
Tiek lēsts, ka CVE-2025-8088 straujā un plašā ieviešana ir saistīta ar plaukstošu pagrīdes ekspluatācijas ekonomiku. Tiek ziņots, ka WinRAR ekspluatācijas tika reklamētas par tūkstošiem dolāru, tādējādi samazinot ienākšanas barjeras plašam dalībnieku lokam. Piegādātājs, kas darbojas ar pseidonīmu "zeroplayer", tirgoja WinRAR ekspluatācijas materiālu dažas nedēļas pirms CVE-2025-8088 publiskas atklāšanas.
Zeroplayer nepārtrauktā loma kā augšupējam pakalpojumu sniedzējam ilustrē uzbrukuma dzīves cikla komercializāciju, kur gatavas ekspluatācijas iespējas samazina izstrādes izmaksas un ļauj grupām ar dažādu motivāciju veikt sarežģītas operācijas.
Plašāks modelis: Papildu WinRAR trūkumi uzbrukumā
Šī aktivitāte sakrīt ar mēģinājumiem izmantot citu WinRAR ievainojamību — CVE-2025-6218 (CVSS vērtējums: 7,8). Ir novērots, ka vairāki apdraudējumu dalībnieki, tostarp GOFFEE, Bitter un Gamaredon, izmanto šo atsevišķo trūkumu, pastiprinot pastāvīgos draudus, ko rada n-dienu ievainojamības, un ātrumu, kādā pretinieki ievieš jaunatklātās nepilnības.
Stratēģiskās sekas aizstāvjiem
Ilgstoša ielāpu ļaunprātīga izmantošana WinRAR ievainojamībās uzsver savlaicīgas ielāpu pārvaldības, lietotāju informētības apmācības un tādu pastāvīgu mehānismu kā neatļautu failu kā startēšanas direktoriju uzraudzības nozīmi. Valsts sponsorētu un noziedzīgu darbību konverģence vēl vairāk parāda, cik ātri kritiskas ievainojamības kļūst par koplietotiem resursiem visā apdraudējumu ainavā.
