Oferta rabatowa na wiele licencji
Baza danych zagrożeń Wrażliwość Luka w zabezpieczeniach WinRAR CVE-2025-6218

Luka w zabezpieczeniach WinRAR CVE-2025-6218

Do Mezo w Wrażliwość, Zaawansowane trwałe zagrożenie (APT)
Przetłumacz na:

Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury Bezpieczeństwa (CISA) formalnie dodała lukę w zabezpieczeniach archiwizatora plików i narzędzia kompresującego WinRAR do swojego katalogu znanych luk w zabezpieczeniach (KEV). Agencja powołała się na dowody na to, że luka ta jest aktywnie wykorzystywana w sieci, co budzi obawy zarówno organizacji, jak i użytkowników.

Luka, oznaczona jako CVE-2025-6218 i oceniona w CVSS na poziomie 7,8, to luka w zabezpieczeniach polegająca na przechodzeniu przez ścieżkę (path traversal), która umożliwia atakującemu wykonanie kodu w kontekście bieżącego użytkownika. Skuteczne wykorzystanie luki wymaga, aby ofiara odwiedziła złośliwą witrynę lub otworzyła specjalnie spreparowany plik.

Szczegóły dotyczące usterki i statusu poprawki

RARLAB zaradził tej luce w WinRAR 7.12, wydanym w czerwcu 2025 roku. Luka dotyczy tylko kompilacji opartych na systemie Windows; wersje dla systemów Unix, Android i innych platform pozostają nienaruszone.

Luka umożliwia atakującym umieszczenie plików w newralgicznych lokalizacjach systemu, takich jak folder Autostart systemu Windows, co potencjalnie może spowodować wykonanie niezamierzonego kodu przy następnym logowaniu do systemu.

Aktywność aktora zagrożenia

Wiele raportów dotyczących bezpieczeństwa cybernetycznego wskazuje, że lukę CVE-2025-6218 wykorzystały trzy różne podmioty stanowiące zagrożenie:

  • GOFFEE (Papierowy Wilkołak)
  • Gorzki (APT-C-08 / Manlinghua)
  • Gamaredon
  • Kampanie GOFFEE

W lipcu 2025 roku GOFFEE rzekomo połączyło lukę CVE-2025-6218 z luką CVE-2025-8088, kolejną podatnością WinRAR na przekroczenie ścieżki (wynik CVSS 8,8), aby atakować organizacje za pomocą wiadomości phishingowych. Ataki te sugerują skoordynowane i zaawansowane działania mające na celu naruszenie bezpieczeństwa środowisk korporacyjnych.

Gorzka eksploatacja APT

Bitter, grupa APT działająca w Azji Południowej, wykorzystała lukę w zabezpieczeniach, aby utrzymać się w zainfekowanych systemach i wdrożyć trojana C# za pomocą lekkiego programu do pobierania. Atak obejmuje archiwum RAR o nazwie Provision of Information for Sectoral for AJK.rar, zawierające nieszkodliwy dokument Worda i złośliwy szablon makra.

Kluczowe mechanizmy ataku obejmują:

  • Upuszczenie pliku Normal.dotm do globalnej ścieżki szablonu programu Microsoft Word spowoduje automatyczne wykonanie makra przy każdym otwarciu programu Word.
  • Omijanie standardowych zabezpieczeń makr poczty e-mail w przypadku dokumentów otrzymanych po ataku hakerskim.
  • Umożliwiając trojanowi kontakt z zewnętrznym serwerem C2 pod adresem johnfashionaccess.com, co umożliwia rejestrowanie naciśnięć klawiszy, wykonywanie zrzutów ekranu, kradzież danych uwierzytelniających RDP i eksfiltrację plików.

Archiwa te są rozpowszechniane głównie za pośrednictwem kampanii phishingowych.

Eksploatacja Gamaredonu

Powiązana z Rosją grupa Gamaredon wykorzystała również lukę CVE-2025-6218 w kampaniach phishingowych wymierzonych w ukraińskie jednostki wojskowe, rządowe, polityczne i administracyjne. Szkodliwe oprogramowanie o nazwie Pteranodon zostało po raz pierwszy zaobserwowane w listopadzie 2025 roku.

Dowody wskazują, że nie jest to działanie oportunistyczne. Stanowi ono zorganizowany, wojskowy szpiegostwo i sabotaż, prawdopodobnie koordynowany przez rosyjski wywiad państwowy. Ponadto Gamaredon wykorzystał lukę CVE-2025-8088 do dostarczenia złośliwego oprogramowania opartego na języku Visual Basic Script i wdrożenia destrukcyjnego programu czyszczącego o nazwie GamaWiper, co stanowi pierwsze zaobserwowane przejście grupy od działań szpiegowskich do destrukcyjnych.

Wnioski dla zespołów ds. bezpieczeństwa

Organizacje i zespoły ds. bezpieczeństwa powinny nadać priorytet następującym działaniom:

  • Upewnij się, że wszystkie systemy Windows, na których działa WinRAR, są zaktualizowane do wersji 7.12 lub nowszej.
  • Zachowaj czujność w przypadku kampanii phishingowych, zwłaszcza wiadomości e-mail typu spear phishing zawierających archiwa RAR lub dokumenty Word.
  • Monitoruj podejrzaną aktywność wskazującą na ciągłe otwieranie tylnych drzwi, rejestrowanie naciśnięć klawiszy lub próby komunikacji C2.
  • Należy pamiętać, że podmioty wspierane przez państwo mogą łączyć wiele luk w celu przeprowadzania ukierunkowanych ataków.

Proaktywne wdrażanie poprawek, dbanie o bezpieczeństwo poczty e-mail i monitorowanie punktów końcowych mają kluczowe znaczenie dla łagodzenia tych zaawansowanych zagrożeń i ograniczania wpływu operacyjnego wykorzystywanych luk, takich jak CVE-2025-6218.

Popularne

Najczęściej oglądane

Ładowanie...