WinRAR जोखिम CVE-2025-6218

अमेरिकी साइबरसुरक्षा र पूर्वाधार सुरक्षा एजेन्सी (CISA) ले औपचारिक रूपमा WinRAR फाइल आर्काइभर र कम्प्रेसन उपयोगितामा रहेको सुरक्षा त्रुटिलाई आफ्नो ज्ञात शोषित जोखिम (KEV) क्याटलगमा थपेको छ। एजेन्सीले प्रमाण उद्धृत गर्‍यो कि जोखिम सक्रिय रूपमा जंगलमा शोषण भइरहेको छ, जसले संस्थाहरू र व्यक्तिगत प्रयोगकर्ताहरूको लागि चिन्ता बढाएको छ।

CVE-2025-6218 को रूपमा ट्र्याक गरिएको यो त्रुटि, जसको CVSS स्कोर ७.८ छ, एक पथ ट्राभर्सल भेलेन्लेरेबिलिटी हो जसले आक्रमणकारीलाई हालको प्रयोगकर्ताको सन्दर्भमा कोड कार्यान्वयन गर्न अनुमति दिन्छ। सफल शोषणको लागि लक्षित व्यक्तिले या त दुर्भावनापूर्ण वेबसाइटमा जानु पर्छ वा विशेष रूपमा तयार पारिएको फाइल खोल्नु पर्छ।

त्रुटि र प्याच स्थितिको विवरण

RARLAB ले जुन २०२५ मा जारी गरिएको WinRAR ७.१२ मा यो जोखिमलाई सम्बोधन गरेको छ। यो त्रुटिले Windows-आधारित निर्माणहरूलाई मात्र असर गर्छ; Unix, Android, र अन्य प्लेटफर्महरूका संस्करणहरू अप्रभावित रहन्छन्।

यो जोखिमले आक्रमणकारीहरूलाई विन्डोज स्टार्टअप फोल्डर जस्ता संवेदनशील प्रणाली स्थानहरूमा फाइलहरू राख्न सक्षम बनाउँछ, जसले गर्दा अर्को प्रणाली लगइनमा अनपेक्षित कोड कार्यान्वयन हुन सक्छ।

धम्की दिने अभिनेताको गतिविधि

धेरै साइबर सुरक्षा रिपोर्टहरूले संकेत गर्दछ कि CVE-2025-6218 तीन फरक खतरा कारकहरू द्वारा शोषण गरिएको छ:

• गफी (पेपर वेयरवुल्फ)
• तितो (APT-C-08 / मनलिंगुआ)
• गामारेडन
• गफी अभियानहरू

जुलाई २०२५ मा, GOFFEE ले फिसिङ इमेलहरू मार्फत संस्थाहरूलाई लक्षित गर्न CVE-2025-6218 लाई CVE-2025-8088, अर्को उच्च-गम्भीरता WinRAR पथ ट्राभर्सल भेद्यता (CVSS स्कोर ८.८) सँग संयोजन गरेको आरोप छ। यी आक्रमणहरूले कर्पोरेट वातावरणमा सम्झौता गर्ने समन्वित र परिष्कृत प्रयासलाई सुझाव दिन्छन्।

तीतो APT शोषण

दक्षिण एसियामा केन्द्रित APT समूह, बिटरले सम्झौता गरिएका प्रणालीहरूमा स्थिरता कायम राख्न र हल्का डाउनलोडर प्रयोग गरेर C# ट्रोजन तैनाथ गर्न जोखिमलाई हतियार बनायो। आक्रमणमा AJK.rar को लागि सेक्टोरलको लागि सूचनाको प्रावधान नामक RAR अभिलेख समावेश छ, जसमा एक सौम्य वर्ड कागजात र एक दुर्भावनापूर्ण म्याक्रो टेम्प्लेट समावेश छ।

आक्रमणको मुख्य संयन्त्रहरू समावेश छन्:

• माइक्रोसफ्ट वर्डको ग्लोबल टेम्प्लेट पाथमा Normal.dotm छोड्दै, प्रत्येक पटक वर्ड खोल्दा म्याक्रो स्वचालित रूपमा कार्यान्वयन हुन्छ भनी सुनिश्चित गर्दै।

यी अभिलेखहरू मुख्यतया भाला-फिसिङ अभियानहरू मार्फत वितरण गरिन्छन्।

गामारेडन शोषण

रुसी सम्बद्ध गामारेडोन समूहले युक्रेनी सेना, सरकारी, राजनीतिक र प्रशासनिक निकायहरूलाई लक्षित गर्दै फिशिङ अभियानहरूमा CVE-2025-6218 को पनि उपयोग गरेको छ। Pteranodon भनिने मालवेयर पहिलो पटक नोभेम्बर २०२५ मा अवलोकन गरिएको थियो।

प्रमाणले यो अवसरवादी गतिविधि होइन भनेर संकेत गर्छ। यसले संरचित, सैन्य-उन्मुख जासुसी र तोडफोडलाई प्रतिनिधित्व गर्दछ, सम्भवतः रूसी राज्य गुप्तचर द्वारा समन्वय गरिएको। थप रूपमा, गामारेडनले भिजुअल बेसिक स्क्रिप्ट मालवेयर डेलिभर गर्न र गामावाइपर नामक विनाशकारी वाइपर तैनाथ गर्न CVE-2025-8088 को दुरुपयोग गरेको छ, जसले जासुसीबाट विनाशकारी अपरेशनमा समूहको पहिलो अवलोकन गरिएको संक्रमणलाई चिन्ह लगाउँछ।

सुरक्षा टोलीहरूको लागि टेकवे

संस्था र सुरक्षा टोलीहरूले निम्न कार्यहरूलाई प्राथमिकता दिनुपर्छ:

• WinRAR चलाउने सबै विन्डोज प्रणालीहरू संस्करण ७.१२ वा पछिको संस्करणमा अद्यावधिक गरिएको सुनिश्चित गर्नुहोस्।
• फिसिङ अभियानहरू, विशेष गरी RAR अभिलेख वा वर्ड कागजातहरू भएका भाला-फिसिङ इमेलहरू विरुद्ध सतर्क रहनुहोस्।
• लगातार ब्याकडोर, किलगिङ, वा C2 सञ्चार प्रयासहरूको संकेत गर्ने शंकास्पद गतिविधिको निगरानी गर्नुहोस्।
• राज्य-प्रायोजित पक्षहरूले लक्षित आक्रमणहरूको लागि धेरै जोखिमहरू संयोजन गर्न सक्छन् भन्ने कुरा स्वीकार गर्नुहोस्।

यी उन्नत खतराहरूलाई कम गर्न र CVE-2025-6218 जस्ता शोषित कमजोरीहरूको सञ्चालन प्रभावलाई सीमित गर्न सक्रिय प्याचिङ, इमेल सुरक्षा स्वच्छता, र अन्तिम बिन्दु अनुगमन महत्त्वपूर्ण छन्।