WinRAR ਕਮਜ਼ੋਰੀ CVE-2025-6218

ਯੂਐਸ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਅਤੇ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਸੁਰੱਖਿਆ ਏਜੰਸੀ (ਸੀਆਈਐਸਏ) ਨੇ ਰਸਮੀ ਤੌਰ 'ਤੇ ਆਪਣੇ ਜਾਣੇ-ਪਛਾਣੇ ਸ਼ੋਸ਼ਣ ਵਾਲੇ ਕਮਜ਼ੋਰੀਆਂ (ਕੇਈਵੀ) ਕੈਟਾਲਾਗ ਵਿੱਚ ਵਿਨਆਰਏਆਰ ਫਾਈਲ ਆਰਕਾਈਵਰ ਅਤੇ ਕੰਪਰੈਸ਼ਨ ਉਪਯੋਗਤਾ ਵਿੱਚ ਇੱਕ ਸੁਰੱਖਿਆ ਨੁਕਸ ਸ਼ਾਮਲ ਕੀਤਾ ਹੈ। ਏਜੰਸੀ ਨੇ ਸਬੂਤਾਂ ਦਾ ਹਵਾਲਾ ਦਿੱਤਾ ਕਿ ਇਸ ਕਮਜ਼ੋਰੀ ਦਾ ਜੰਗਲ ਵਿੱਚ ਸਰਗਰਮੀ ਨਾਲ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ, ਜਿਸ ਨਾਲ ਸੰਗਠਨਾਂ ਅਤੇ ਵਿਅਕਤੀਗਤ ਉਪਭੋਗਤਾਵਾਂ ਲਈ ਚਿੰਤਾਵਾਂ ਵਧ ਰਹੀਆਂ ਹਨ।

ਇਹ ਨੁਕਸ, ਜਿਸਨੂੰ CVE-2025-6218 ਵਜੋਂ ਟਰੈਕ ਕੀਤਾ ਗਿਆ ਹੈ, 7.8 ਦੇ CVSS ਸਕੋਰ ਨਾਲ, ਇੱਕ ਪਾਥ ਟ੍ਰਾਵਰਸਲ ਕਮਜ਼ੋਰੀ ਹੈ ਜੋ ਹਮਲਾਵਰ ਨੂੰ ਮੌਜੂਦਾ ਉਪਭੋਗਤਾ ਦੇ ਸੰਦਰਭ ਵਿੱਚ ਕੋਡ ਨੂੰ ਚਲਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ। ਸਫਲ ਸ਼ੋਸ਼ਣ ਲਈ ਇਹ ਜ਼ਰੂਰੀ ਹੈ ਕਿ ਨਿਸ਼ਾਨਾ ਜਾਂ ਤਾਂ ਇੱਕ ਖਤਰਨਾਕ ਵੈੱਬਸਾਈਟ 'ਤੇ ਜਾਵੇ ਜਾਂ ਇੱਕ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਤਿਆਰ ਕੀਤੀ ਫਾਈਲ ਖੋਲ੍ਹੇ।

ਨੁਕਸ ਅਤੇ ਪੈਚ ਸਥਿਤੀ ਦੇ ਵੇਰਵੇ

RARLAB ਨੇ ਜੂਨ 2025 ਵਿੱਚ ਜਾਰੀ ਕੀਤੇ ਗਏ WinRAR 7.12 ਵਿੱਚ ਇਸ ਕਮਜ਼ੋਰੀ ਨੂੰ ਸੰਬੋਧਿਤ ਕੀਤਾ। ਇਹ ਨੁਕਸ ਸਿਰਫ਼ Windows-ਅਧਾਰਿਤ ਬਿਲਡਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦਾ ਹੈ; Unix, Android, ਅਤੇ ਹੋਰ ਪਲੇਟਫਾਰਮਾਂ ਲਈ ਸੰਸਕਰਣ ਪ੍ਰਭਾਵਿਤ ਨਹੀਂ ਹੁੰਦੇ।

ਇਹ ਕਮਜ਼ੋਰੀ ਹਮਲਾਵਰਾਂ ਨੂੰ ਫਾਈਲਾਂ ਨੂੰ ਸੰਵੇਦਨਸ਼ੀਲ ਸਿਸਟਮ ਸਥਾਨਾਂ, ਜਿਵੇਂ ਕਿ ਵਿੰਡੋਜ਼ ਸਟਾਰਟਅੱਪ ਫੋਲਡਰ ਵਿੱਚ ਰੱਖਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦੀ ਹੈ, ਜੋ ਅਗਲੇ ਸਿਸਟਮ ਲੌਗਇਨ 'ਤੇ ਅਣਚਾਹੇ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਚਾਲੂ ਕਰਨ ਦਾ ਕਾਰਨ ਬਣ ਸਕਦੀ ਹੈ।

ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰ ਦੀ ਗਤੀਵਿਧੀ

ਕਈ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਰਿਪੋਰਟਾਂ ਦਰਸਾਉਂਦੀਆਂ ਹਨ ਕਿ CVE-2025-6218 ਦਾ ਸ਼ੋਸ਼ਣ ਤਿੰਨ ਵੱਖ-ਵੱਖ ਧਮਕੀ ਦੇਣ ਵਾਲਿਆਂ ਦੁਆਰਾ ਕੀਤਾ ਗਿਆ ਹੈ:

• ਗੋਫੀ (ਪੇਪਰ ਵੇਅਰਵੋਲਫ)
• ਕੌੜਾ (APT-C-08 / ਮਨਲਿੰਗਹੁਆ)
• ਗੇਮਰੇਡਨ
• ਗੋਫੀ ਮੁਹਿੰਮਾਂ

ਜੁਲਾਈ 2025 ਵਿੱਚ, GOFFEE ਨੇ ਕਥਿਤ ਤੌਰ 'ਤੇ CVE-2025-6218 ਨੂੰ CVE-2025-8088 ਨਾਲ ਜੋੜਿਆ, ਜੋ ਕਿ ਇੱਕ ਹੋਰ ਉੱਚ-ਗੰਭੀਰਤਾ ਵਾਲਾ WinRAR ਪਾਥ ਟ੍ਰੈਵਰਸਲ ਕਮਜ਼ੋਰੀ (CVSS ਸਕੋਰ 8.8) ਸੀ, ਤਾਂ ਜੋ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਰਾਹੀਂ ਸੰਗਠਨਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਜਾ ਸਕੇ। ਇਹ ਹਮਲੇ ਕਾਰਪੋਰੇਟ ਵਾਤਾਵਰਣ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਲਈ ਇੱਕ ਤਾਲਮੇਲ ਅਤੇ ਸੂਝਵਾਨ ਯਤਨ ਦਾ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ।

ਕੌੜਾ ਏਪੀਟੀ ਸ਼ੋਸ਼ਣ

ਦੱਖਣੀ ਏਸ਼ੀਆ-ਕੇਂਦ੍ਰਿਤ APT ਸਮੂਹ, ਬਿਟਰ ਨੇ ਕਮਜ਼ੋਰੀ ਨੂੰ ਹਥਿਆਰ ਵਜੋਂ ਵਰਤਿਆ ਤਾਂ ਜੋ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਸਿਸਟਮਾਂ 'ਤੇ ਸਥਿਰਤਾ ਬਣਾਈ ਰੱਖੀ ਜਾ ਸਕੇ ਅਤੇ ਹਲਕੇ ਡਾਊਨਲੋਡਰ ਦੀ ਵਰਤੋਂ ਕਰਕੇ C# ਟ੍ਰੋਜਨ ਨੂੰ ਤੈਨਾਤ ਕੀਤਾ ਜਾ ਸਕੇ। ਇਸ ਹਮਲੇ ਵਿੱਚ AJK.rar ਲਈ ਸੈਕਟਰਲ ਲਈ ਜਾਣਕਾਰੀ ਦੀ ਪ੍ਰੋਵਿਜ਼ਨ ਨਾਮਕ ਇੱਕ RAR ਆਰਕਾਈਵ ਸ਼ਾਮਲ ਹੈ, ਜਿਸ ਵਿੱਚ ਇੱਕ ਸੁਭਾਵਕ ਵਰਡ ਦਸਤਾਵੇਜ਼ ਅਤੇ ਇੱਕ ਖਤਰਨਾਕ ਮੈਕਰੋ ਟੈਂਪਲੇਟ ਸ਼ਾਮਲ ਹੈ।

ਹਮਲੇ ਦੇ ਮੁੱਖ ਮਕੈਨਿਕਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• Normal.dotm ਨੂੰ Microsoft Word ਦੇ ਗਲੋਬਲ ਟੈਂਪਲੇਟ ਪਾਥ ਵਿੱਚ ਛੱਡਣਾ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਣਾ ਕਿ ਹਰ ਵਾਰ Word ਖੋਲ੍ਹਣ 'ਤੇ ਮੈਕਰੋ ਆਪਣੇ ਆਪ ਚੱਲਦਾ ਹੈ।

ਇਹ ਪੁਰਾਲੇਖ ਮੁੱਖ ਤੌਰ 'ਤੇ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮਾਂ ਰਾਹੀਂ ਵੰਡੇ ਜਾਂਦੇ ਹਨ।

ਗਾਮੇਰੇਡਨ ਸ਼ੋਸ਼ਣ

ਰੂਸ ਨਾਲ ਸਬੰਧਤ ਗੇਮਰੇਡਨ ਸਮੂਹ ਨੇ ਯੂਕਰੇਨੀ ਫੌਜੀ, ਸਰਕਾਰੀ, ਰਾਜਨੀਤਿਕ ਅਤੇ ਪ੍ਰਸ਼ਾਸਨਿਕ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੀਆਂ ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮਾਂ ਵਿੱਚ CVE-2025-6218 ਦਾ ਵੀ ਲਾਭ ਉਠਾਇਆ ਹੈ। ਪਟੇਰਾਨੋਡੋਨ ਨਾਮਕ ਮਾਲਵੇਅਰ, ਪਹਿਲੀ ਵਾਰ ਨਵੰਬਰ 2025 ਵਿੱਚ ਦੇਖਿਆ ਗਿਆ ਸੀ।

ਸਬੂਤ ਦਰਸਾਉਂਦੇ ਹਨ ਕਿ ਇਹ ਕੋਈ ਮੌਕਾਪ੍ਰਸਤ ਗਤੀਵਿਧੀ ਨਹੀਂ ਹੈ। ਇਹ ਸੰਰਚਿਤ, ਫੌਜੀ-ਮੁਖੀ ਜਾਸੂਸੀ ਅਤੇ ਤੋੜ-ਫੋੜ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ, ਜੋ ਕਿ ਰੂਸੀ ਰਾਜ ਖੁਫੀਆ ਜਾਣਕਾਰੀ ਦੁਆਰਾ ਸੰਚਾਲਿਤ ਹੋ ਸਕਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਗੇਮਰੇਡਨ ਨੇ ਵਿਜ਼ੂਅਲ ਬੇਸਿਕ ਸਕ੍ਰਿਪਟ ਮਾਲਵੇਅਰ ਪ੍ਰਦਾਨ ਕਰਨ ਅਤੇ ਗਾਮਾਵਾਈਪਰ ਨਾਮਕ ਇੱਕ ਵਿਨਾਸ਼ਕਾਰੀ ਵਾਈਪਰ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ CVE-2025-8088 ਦੀ ਦੁਰਵਰਤੋਂ ਕੀਤੀ ਹੈ, ਜੋ ਕਿ ਸਮੂਹ ਦੇ ਜਾਸੂਸੀ ਤੋਂ ਵਿਨਾਸ਼ਕਾਰੀ ਕਾਰਜਾਂ ਵਿੱਚ ਪਹਿਲੇ ਦੇਖੇ ਗਏ ਪਰਿਵਰਤਨ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।

ਸੁਰੱਖਿਆ ਟੀਮਾਂ ਲਈ ਨੁਕਤੇ

ਸੰਗਠਨਾਂ ਅਤੇ ਸੁਰੱਖਿਆ ਟੀਮਾਂ ਨੂੰ ਹੇਠ ਲਿਖੀਆਂ ਕਾਰਵਾਈਆਂ ਨੂੰ ਤਰਜੀਹ ਦੇਣੀ ਚਾਹੀਦੀ ਹੈ:

• ਯਕੀਨੀ ਬਣਾਓ ਕਿ WinRAR ਚਲਾਉਣ ਵਾਲੇ ਸਾਰੇ ਵਿੰਡੋਜ਼ ਸਿਸਟਮ ਵਰਜਨ 7.12 ਜਾਂ ਇਸ ਤੋਂ ਬਾਅਦ ਦੇ ਵਰਜਨ ਵਿੱਚ ਅੱਪਡੇਟ ਕੀਤੇ ਗਏ ਹਨ।
• ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮਾਂ, ਖਾਸ ਕਰਕੇ RAR ਪੁਰਾਲੇਖਾਂ ਜਾਂ ਵਰਡ ਦਸਤਾਵੇਜ਼ਾਂ ਵਾਲੇ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਤੋਂ ਸੁਚੇਤ ਰਹੋ।
• ਲਗਾਤਾਰ ਬੈਕਡੋਰ, ਕੀਲੌਗਿੰਗ, ਜਾਂ C2 ਸੰਚਾਰ ਕੋਸ਼ਿਸ਼ਾਂ ਦੇ ਸੰਕੇਤ ਦੇਣ ਵਾਲੀ ਸ਼ੱਕੀ ਗਤੀਵਿਧੀ ਦੀ ਨਿਗਰਾਨੀ ਕਰੋ।
• ਇਹ ਪਛਾਣੋ ਕਿ ਰਾਜ-ਪ੍ਰਯੋਜਿਤ ਕਾਰਕੁਨ ਨਿਸ਼ਾਨਾਬੱਧ ਹਮਲਿਆਂ ਲਈ ਕਈ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਜੋੜ ਸਕਦੇ ਹਨ।

ਇਹਨਾਂ ਉੱਨਤ ਖਤਰਿਆਂ ਨੂੰ ਘਟਾਉਣ ਅਤੇ CVE-2025-6218 ਵਰਗੀਆਂ ਸ਼ੋਸ਼ਣ ਕੀਤੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦੇ ਸੰਚਾਲਨ ਪ੍ਰਭਾਵ ਨੂੰ ਸੀਮਤ ਕਰਨ ਲਈ ਕਿਰਿਆਸ਼ੀਲ ਪੈਚਿੰਗ, ਈਮੇਲ ਸੁਰੱਖਿਆ ਸਫਾਈ, ਅਤੇ ਅੰਤਮ ਬਿੰਦੂ ਨਿਗਰਾਨੀ ਮਹੱਤਵਪੂਰਨ ਹਨ।