Vulnerabilitate WinRAR CVE-2025-8088
Cercetătorii în domeniul securității au descoperit exploatarea extinsă a unei vulnerabilități critice în RARLAB WinRAR, acum corectată, de către mai mulți actori amenințători. Atât adversarii statelor naționale, cât și grupurile motivate financiar au valorificat defectul pentru a obține acces inițial la mediile țintă și a implementa o gamă largă de sarcini utile malițioase. Deși a fost corectată în iulie 2025, vulnerabilitatea continuă să fie utilizată abuziv în diverse operațiuni, evidențiind riscurile persistente asociate cu software-ul necorectat.
Cuprins
CVE-2025-8088: Prezentare generală tehnică și impact
Vulnerabilitatea, înregistrată ca CVE-2025-8088 cu un scor CVSS de 8,8, a fost remediată în WinRAR versiunea 7.13, lansată pe 30 iulie 2025. Exploatarea permite executarea arbitrară de cod prin fișiere de arhivă special create, deschise în versiuni vulnerabile ale software-ului. Cauza principală este o eroare de traversare a căii (path traversal) care permite atacatorilor să plaseze fișiere în locații sensibile, în special în folderul Startup Windows, permițând persistența ascunsă și execuția automată la repornirea sistemului și la conectarea utilizatorului.
Această tehnică de exploatare reflectă o lacună defensivă mai amplă în ceea ce privește igiena securității de bază a aplicațiilor și conștientizarea utilizatorului final.
De la zero-day la N-day: Evoluția atacurilor
Defectul a fost exploatat ca o vulnerabilitate zero-day încă din 18 iulie 2025, în special de către grupul de amenințări cu dublă motivație RomCom (cunoscut și sub numele de CIGAR sau UNC4895). Aceste operațiuni au generat o variantă a malware-ului SnipBot (NESTPACKER). Cercetătorii asociază, de asemenea, activitatea conexă cu clusterul urmărit ca UNC2596, care a fost legat de implementările Cuba Ransomware.
După dezvăluirea publică și aplicarea de patch-uri, vulnerabilitatea a trecut rapid la o vulnerabilitate de tip n-day, exploatată pe scară largă, atacatorii încorporând fișiere malițioase, adesea sarcini utile de tip shortcut Windows (LNK) ascunse în fluxuri de date alternative (ADS), în conținutul capcană. Odată extrase, aceste fișiere sunt plasate în căi de sistem predeterminate și declanșate automat după o repornire.
Operațiunile statului-națiune extind exploatarea
Mai multe grupuri de amenințări legate de guvern au încorporat CVE-2025-8088 în campanii active. Actorii aliniați cu Rusia, în special, au folosit momeli personalizate și sarcini utile secundare pentru a promova atât spionajul, cât și obiectivele disruptive:
- Sandworm (cunoscut și sub numele de APT44 sau FROZENBARENTS) a implementat arhive care conțineau fișiere capcană cu tematică ucraineană, alături de sarcini LNK malițioase concepute pentru a recupera componente suplimentare.
- Gamaredon (cunoscut și sub numele de CARPATHIAN) a vizat entități guvernamentale ucrainene folosind arhive RAR care, într-o primă etapă, livrau programe de descărcare pentru aplicații HTML (HTA).
- Turla (cunoscut și sub numele de SUMMIT) a abuzat de această defecțiune pentru a distribui framework-ul malware-ului STOCKSTAY, folosind teme de inginerie socială legate de activități militare ucrainene și de drone.
În paralel, un actor amenințător cu sediul în China a folosit aceeași vulnerabilitate ca armă pentru a instala Poison Ivy, livrat printr-un script batch plasat în folderul Startup Windows și configurat să preia un dropper secundar.
Campanii motivate financiar și direcționare comercială
Grupurile infracționale cibernetice au adoptat rapid vulnerabilitatea pentru a implementa troieni de acces la distanță (RAT) și hoți de informații împotriva victimelor comerciale. Sarcinile utile observate includ backdoor-uri controlate de boți Telegram, precum și familii de programe malware precum AsyncRAT și XWorm.
Într-o campanie notabilă, un grup de infracțiuni cibernetice cunoscut pentru că vizează utilizatorii brazilieni a distribuit o extensie Chrome rău intenționată. Această extensie a injectat JavaScript în paginile a două site-uri web bancare braziliene pentru a prezenta conținut de phishing și a colecta datele de autentificare ale utilizatorilor, demonstrând flexibilitatea accesului inițial obținut prin exploatarea WinRAR.
Piețele subterane și comoditizarea exploatărilor
Se estimează că adoptarea rapidă și largă a CVE-2025-8088 provine dintr-o economie subterană prosperă bazată pe exploit-uri. Se pare că exploit-urile WinRAR au fost promovate pentru mii de dolari, reducând bariera de acces pentru o gamă largă de actori. Un furnizor care opera sub pseudonimul „zeroplayer” a comercializat un exploit WinRAR în săptămânile premergătoare dezvăluirii publice a CVE-2025-8088.
Rolul continuu al Zeroplayer ca furnizor în upstream ilustrează comoditizarea ciclului de viață al atacurilor, unde capabilitățile de exploatare la cheie reduc costurile de dezvoltare și permit grupurilor cu motivații variate să desfășoare operațiuni sofisticate.
Un model mai larg: Alte defecte WinRAR sunt atacate
Această activitate coincide cu tentative de exploatare împotriva unei alte vulnerabilități WinRAR, CVE-2025-6218 (scor CVSS: 7,8). S-a observat că mai mulți actori amenințători, inclusiv GOFFEE, Bitter și Gamaredon, profită de această vulnerabilitate separată, consolidând amenințarea continuă reprezentată de vulnerabilitățile de tip n-day și viteza cu care adversarii operaționalizează slăbiciunile nou dezvăluite.
Implicații strategice pentru apărători
Abuzul susținut al vulnerabilităților WinRAR aplicate corect subliniază importanța gestionării la timp a corecțiilor, a instruirii utilizatorilor și a monitorizării mecanismelor de persistență, cum ar fi fișierele neautorizate din directoarele de pornire. Convergența exploatării sponsorizate de stat și a exploatării criminale demonstrează în continuare cât de repede devin vulnerabilitățile critice resurse partajate în întreg peisajul amenințărilor.
