WinRAR ievainojamība CVE-2025-6218
ASV Kiberdrošības un infrastruktūras drošības aģentūra (CISA) ir oficiāli pievienojusi WinRAR failu arhivēšanas un saspiešanas utilītas drošības trūkumu savam zināmo izmantoto ievainojamību (KEV) katalogam. Aģentūra minēja pierādījumus, ka šī ievainojamība tiek aktīvi izmantota, radot bažas gan organizācijām, gan individuāliem lietotājiem.
Šī nepilnība, kas atzīmēta kā CVE-2025-6218 ar CVSS vērtējumu 7,8, ir ceļa šķērsošanas ievainojamība, kas ļauj uzbrucējam izpildīt kodu pašreizējā lietotāja kontekstā. Lai veiksmīgi izmantotu šo ievainojamību, mērķim ir jāapmeklē ļaunprātīga tīmekļa vietne vai jāatver speciāli izveidots fails.
Satura rādītājs
Informācija par trūkumu un ielāpa statusu
RARLAB novērsa šo ievainojamību WinRAR 7.12 versijā, kas tika izlaista 2025. gada jūnijā. Šī problēma ietekmē tikai Windows bāzes versijas; Unix, Android un citu platformu versijas paliek nemainīgas.
Šī ievainojamība ļauj uzbrucējiem ievietot failus sensitīvās sistēmas vietās, piemēram, Windows startēšanas mapē, potenciāli izraisot netīšu koda izpildi nākamajā sistēmas pieteikšanās reizē.
Draudu izpildītāja aktivitāte
Vairāki kiberdrošības ziņojumi liecina, ka CVE-2025-6218 ir izmantojuši trīs dažādi apdraudējumu dalībnieki:
- GOFFEE (Papīra vilkacis)
- Rūgts (APT-C-08 / Manlinghua)
- Gamaredons
- GOFFEE kampaņas
2025. gada jūlijā GOFFEE, iespējams, apvienoja CVE-2025-6218 ar CVE-2025-8088, vēl vienu ļoti bīstamu WinRAR ceļa šķērsošanas ievainojamību (CVSS vērtējums 8,8), lai uzbruktu organizācijām, izmantojot pikšķerēšanas e-pastus. Šie uzbrukumi liecina par koordinētiem un sarežģītiem centieniem apdraudēt korporatīvo vidi.
Rūgta APT izmantošana
Bitter, Dienvidāzijā bāzēta APT grupa, izmantoja ievainojamību kā ieroci, lai saglabātu noturību apdraudētās sistēmās un izvietotu C# Trojas zirgu, izmantojot vieglu lejupielādētāju. Uzbrukumā ir iesaistīts RAR arhīvs ar nosaukumu Provision of Information for Sectoral for AJK.rar, kas satur labdabīgu Word dokumentu un ļaunprātīgu makro veidni.
Uzbrukuma galvenie mehānismi ietver:
- Normal.dotm ievietošana Microsoft Word globālajā veidnes ceļā, nodrošinot, ka makro tiek izpildīts automātiski katru reizi, kad tiek atvērta programma Word.
- Standarta e-pasta makro aizsardzības apiešana dokumentiem, kas saņemti pēc kompromitēšanas.
- Ļauj Trojas zirgam sazināties ar ārēju C2 serveri vietnē johnfashionaccess.com, tādējādi veicinot taustiņsitienu reģistrēšanu, ekrānuzņēmumu uzņemšanu, RDP akreditācijas datu zādzību un failu eksfiltrāciju.
Šie arhīvi galvenokārt tiek izplatīti, izmantojot mērķtiecīgas pikšķerēšanas kampaņas.
Gamaredona ekspluatācija
Ar Krieviju saistītā Gamaredon grupa ir izmantojusi arī CVE-2025-6218 pikšķerēšanas kampaņās, kas vērstas pret Ukrainas militārajām, valdības, politiskajām un administratīvajām struktūrām. Ļaunprogrammatūra ar nosaukumu Pteranodon pirmo reizi tika novērota 2025. gada novembrī.
Pierādījumi liecina, ka šī nav oportūnistiska darbība. Tā ir strukturēta, militāri orientēta spiegošana un sabotāža, ko, visticamāk, koordinē Krievijas valsts izlūkdienests. Turklāt Gamaredon ir ļaunprātīgi izmantojis CVE-2025-8088, lai piegādātu Visual Basic Script ļaunprogrammatūru un izvietotu destruktīvu tīrītāju ar nosaukumu GamaWiper, kas iezīmē grupas pirmo novēroto pāreju no spiegošanas uz destruktīvām operācijām.
Drošības komandu secinājumi
Organizācijām un drošības komandām jāpiešķir prioritāte šādām darbībām:
- Pārliecinieties, vai visas Windows sistēmas, kurās darbojas WinRAR, ir atjauninātas uz versiju 7.12 vai jaunāku.
- Esiet modri pret pikšķerēšanas kampaņām, jo īpaši mērķtiecīgiem pikšķerēšanas e-pastiem, kas satur RAR arhīvus vai Word dokumentus.
- Uzraugiet aizdomīgas darbības, kas liecina par pastāvīgām aizmugurējām durvīm, taustiņu nospiešanas bloķēšanu vai C2 saziņas mēģinājumiem.
- Atzīt, ka valsts atbalstīti dalībnieki var apvienot vairākas ievainojamības mērķtiecīgu uzbrukumu veikšanai.
Proaktīva ielāpu ieviešana, e-pasta drošības higiēna un galapunktu uzraudzība ir ļoti svarīgas, lai mazinātu šos sarežģītos draudus un ierobežotu izmantoto ievainojamību, piemēram, CVE-2025-6218, operacionālo ietekmi.
