WinRAR-sårbarhet CVE-2025-6218

Det amerikanske byrået for cybersikkerhet og infrastruktursikkerhet (CISA) har formelt lagt til en sikkerhetsfeil i filarkiverings- og komprimeringsverktøyet WinRAR i sin katalog over kjente utnyttede sårbarheter (KEV). Byrået viste til bevis for at sårbarheten aktivt utnyttes, noe som vekker bekymring for både organisasjoner og individuelle brukere.

Feilen, sporet som CVE-2025-6218 med en CVSS-poengsum på 7,8, er en sårbarhet for sti-traversering som lar en angriper kjøre kode i konteksten til den nåværende brukeren. Vellykket utnyttelse krever at målet enten besøker et ondsinnet nettsted eller åpner en spesiallaget fil.

Detaljer om feilen og oppdateringsstatus

RARLAB adresserte dette sikkerhetsproblemet i WinRAR 7.12, utgitt i juni 2025. Feilen påvirker kun Windows-baserte versjoner; versjoner for Unix, Android og andre plattformer forblir upåvirket.

Sårbarheten gjør det mulig for angripere å plassere filer på sensitive systemplasseringer, for eksempel Windows oppstartsmappen, noe som potensielt kan utløse utilsiktet kodekjøring ved neste systempålogging.

Aktivitet for trusselaktører

Flere rapporter om cybersikkerhet indikerer at CVE-2025-6218 har blitt utnyttet av tre forskjellige trusselaktører:

• GOFFEE (Papirvarulv)
• Bitter (APT-C-08 / Manlinghua)
• Gamaredon
• GOFFEE-kampanjer

I juli 2025 skal GOFFEE angivelig ha kombinert CVE-2025-6218 med CVE-2025-8088, en annen alvorlighetssårbarhet for WinRAR-stier (CVSS-score 8,8), for å målrette organisasjoner via phishing-e-poster. Disse angrepene tyder på en koordinert og sofistikert innsats for å kompromittere bedriftsmiljøer.

Bitter APT-utnyttelse

Bitter, en APT-gruppe med fokus på Sør-Asia, utnyttet sårbarheten for å opprettholde persistens på kompromitterte systemer og distribuere en C#-trojaner ved hjelp av en lett nedlaster. Angrepet involverer et RAR-arkiv kalt Provision of Information for Sectoral for AJK.rar, som inneholder et godartet Word-dokument og en ondsinnet makromal.

Viktige angrepsmekanismer inkluderer:

• Slipp Normal.dotm i Microsoft Words globale malbane, slik at makroen kjøres automatisk hver gang Word åpnes.
• Omgåelse av standard e-postmakrobeskyttelse for dokumenter mottatt etter kompromittering.

• Gjør det mulig for trojaneren å kontakte en ekstern C2-server på johnfashionaccess.com, noe som muliggjør tastelogging, skjermbildetaking, tyveri av RDP-legitimasjon og filutrensing.

Disse arkivene distribueres primært gjennom spear-phishing-kampanjer.

Gamaredon-utnyttelse

Den russisk-tilknyttede Gamaredon-gruppen har også utnyttet CVE-2025-6218 i phishing-kampanjer rettet mot ukrainske militære, statlige, politiske og administrative enheter. Skadevaren, kalt Pteranodon, ble først observert i november 2025.

Bevis tyder på at dette ikke er en opportunistisk aktivitet. Det representerer strukturert, militærorientert spionasje og sabotasje, sannsynligvis koordinert av russisk statlig etterretning. I tillegg har Gamaredon misbrukt CVE-2025-8088 til å levere Visual Basic Script-skadevare og distribuere en destruktiv visker kalt GamaWiper, noe som markerer gruppens første observerte overgang fra spionasje til destruktive operasjoner.

Lærdom for sikkerhetsteam

Organisasjoner og sikkerhetsteam bør prioritere følgende tiltak:

• Sørg for at alle Windows-systemer som kjører WinRAR er oppdatert til versjon 7.12 eller nyere.
• Vær årvåken mot phishing-kampanjer, spesielt spear-phishing-e-poster som inneholder RAR-arkiver eller Word-dokumenter.
• Overvåk for mistenkelig aktivitet som indikerer vedvarende bakdører, tastelogging eller C2-kommunikasjonsforsøk.
• Erkjenn at statsstøttede aktører kan kombinere flere sårbarheter for målrettede angrep.

Proaktiv oppdatering, sikkerhetshygiene for e-post og endepunktovervåking er avgjørende for å redusere disse avanserte truslene og begrense den operative effekten av utnyttede sårbarheter som CVE-2025-6218.