Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Kwetsbaarheid WinRAR-kwetsbaarheid CVE-2025-6218

WinRAR-kwetsbaarheid CVE-2025-6218

Tegen Mezo in Kwetsbaarheid, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een beveiligingslek in het WinRAR-bestandsarchiverings- en compressieprogramma officieel toegevoegd aan de catalogus van bekende, misbruikte kwetsbaarheden (Known Exploited Vulnerabilities, KEV). Het agentschap gaf aan dat er bewijs is dat de kwetsbaarheid actief wordt misbruikt, wat zorgen baart bij zowel organisaties als individuele gebruikers.

Het beveiligingslek, geregistreerd onder CVE-2025-6218 met een CVSS-score van 7,8, is een path traversal-kwetsbaarheid waarmee een aanvaller code kan uitvoeren in de context van de huidige gebruiker. Succesvolle exploitatie vereist dat het doelwit een kwaadwillende website bezoekt of een speciaal geprepareerd bestand opent.

Details over het beveiligingslek en de status van de patch.

RARLAB heeft deze kwetsbaarheid verholpen in WinRAR 7.12, dat in juni 2025 is uitgebracht. De kwetsbaarheid treft alleen Windows-versies; versies voor Unix, Android en andere platforms blijven onaangetast.

De kwetsbaarheid stelt aanvallers in staat om bestanden op gevoelige systeemlocaties te plaatsen, zoals de Windows-opstartmap, waardoor mogelijk onbedoelde code-uitvoering wordt geactiveerd bij de volgende systeemaanmelding.

Activiteit van de dreigingsactor

Uit diverse cybersecurityrapporten blijkt dat CVE-2025-6218 is misbruikt door drie verschillende cybercriminelen:

  • GOFFEE (Papieren Weerwolf)
  • Bitter (APT-C-08 / Manlinghua)
  • Gamaredon
  • GOFFEE-campagnes

In juli 2025 zou GOFFEE CVE-2025-6218 hebben gecombineerd met CVE-2025-8088, een andere ernstige WinRAR path traversal-kwetsbaarheid (CVSS-score 8.8), om organisaties via phishing-e-mails aan te vallen. Deze aanvallen duiden op een gecoördineerde en geavanceerde poging om bedrijfsomgevingen te compromitteren.

Bittere APT-exploitatie

Bitter, een APT-groep die zich richt op Zuid-Azië, maakte misbruik van de kwetsbaarheid om persistentie te behouden op gecompromitteerde systemen en een C#-trojan te verspreiden met behulp van een lichtgewicht downloader. De aanval betreft een RAR-archief met de naam Provision of Information for Sectoral for AJK.rar, dat een onschadelijk Word-document en een kwaadaardige macrosjabloon bevat.

De belangrijkste onderdelen van de aanval zijn:

  • Door Normal.dotm in het globale sjabloonpad van Microsoft Word te plaatsen, wordt de macro automatisch uitgevoerd elke keer dat Word wordt geopend.
  • Het omzeilen van standaard macrobeveiligingen in e-mails voor documenten die na een inbreuk zijn ontvangen.
  • Hierdoor kan de trojan contact leggen met een externe C2-server op johnfashionaccess.com, wat keylogging, het maken van screenshots, het stelen van RDP-inloggegevens en het exfiltreren van bestanden mogelijk maakt.

Deze archieven worden voornamelijk verspreid via spear-phishingcampagnes.

Gamaredon Exploitation

De aan Rusland gelieerde Gamaredon-groep heeft CVE-2025-6218 ook gebruikt in phishingcampagnes gericht op Oekraïense militaire, overheids-, politieke en administratieve instanties. De malware, genaamd Pteranodon, werd voor het eerst waargenomen in november 2025.

Bewijs wijst erop dat dit geen opportunistische activiteit is. Het betreft gestructureerde, militair georiënteerde spionage en sabotage, waarschijnlijk gecoördineerd door de Russische staatsinlichtingendienst. Daarnaast heeft Gamaredon misbruik gemaakt van CVE-2025-8088 om Visual Basic Script-malware te verspreiden en een destructieve wiper genaamd GamaWiper te implementeren. Dit markeert de eerste waargenomen overgang van de groep van spionage naar destructieve operaties.

Belangrijke lessen voor beveiligingsteams

Organisaties en beveiligingsteams moeten prioriteit geven aan de volgende acties:

  • Zorg ervoor dat alle Windows-systemen waarop WinRAR draait, zijn bijgewerkt naar versie 7.12 of hoger.
  • Blijf alert op phishingcampagnes, met name spear-phishing-e-mails met RAR-archieven of Word-documenten.
  • Monitor op verdachte activiteiten die kunnen wijzen op aanhoudende backdoors, keylogging of pogingen tot C2-communicatie.
  • Houd er rekening mee dat door de staat gesteunde actoren meerdere kwetsbaarheden kunnen combineren voor gerichte aanvallen.

Proactief patchen, goede e-mailbeveiliging en endpointmonitoring zijn cruciaal om deze geavanceerde dreigingen te beperken en de operationele impact van misbruikte kwetsbaarheden zoals CVE-2025-6218 te minimaliseren.

Trending

Meest bekeken

Bezig met laden...