Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Vulnerabilitate Vulnerabilitate WinRAR CVE-2025-6218

Vulnerabilitate WinRAR CVE-2025-6218

Până în Mezo în Vulnerabilitate, Amenințare persistentă avansată (APT)
Tradu in:

Agenția pentru Securitatea Cibernetică și Infrastructură din SUA (CISA) a adăugat oficial o eroare de securitate în utilitarul de arhivare și compresie a fișierelor WinRAR în catalogul său de vulnerabilități exploatate cunoscute (KEV). Agenția a citat dovezi că vulnerabilitatea este exploatată în mod activ, ceea ce ridică îngrijorări atât pentru organizații, cât și pentru utilizatorii individuali.

Defectul, înregistrat ca CVE-2025-6218 cu un scor CVSS de 7,8, este o vulnerabilitate de tip „path traversal” (traversare a unei căi) care permite unui atacator să execute cod în contextul utilizatorului curent. Exploatarea cu succes necesită ca ținta fie să viziteze un site web rău intenționat, fie să deschidă un fișier special conceput.

Detalii despre starea defectelor și a patch-urilor

RARLAB a remediat această vulnerabilitate în WinRAR 7.12, lansată în iunie 2025. Defectul afectează doar versiunile bazate pe Windows; versiunile pentru Unix, Android și alte platforme rămân neafectate.

Vulnerabilitatea permite atacatorilor să plaseze fișiere în locații sensibile ale sistemului, cum ar fi folderul Startup Windows, ceea ce ar putea declanșa executarea neintenționată de cod la următoarea conectare la sistem.

Activitatea actorului amenințător

Mai multe rapoarte de securitate cibernetică indică faptul că CVE-2025-6218 a fost exploatat de trei actori amenințători distincți:

  • GOFFEE (Vârcolac de hârtie)
  • Amar (APT-C-08 / Manlinghua)
  • Gamaredon
  • Campanii GOFFEE

În iulie 2025, GOFFEE ar fi combinat CVE-2025-6218 cu CVE-2025-8088, o altă vulnerabilitate de severitate ridicată a traversării căii WinRAR (scor CVSS 8,8), pentru a viza organizațiile prin e-mailuri de phishing. Aceste atacuri sugerează un efort coordonat și sofisticat de a compromite mediile corporative.

Exploatare amară a APT

Bitter, un grup APT axat pe Asia de Sud, a folosit această vulnerabilitate ca armă pentru a menține persistența pe sistemele compromise și a implementa un troian C# folosind un program de descărcare ușor. Atacul implică o arhivă RAR numită Provision of Information for Sectoral for AJK.rar, care conține un document Word benign și un șablon macro malițios.

Mecanica cheie a atacului include:

  • Plasarea fișierului Normal.dotm în calea globală a șablonului din Microsoft Word, asigurându-se că macrocomanda se execută automat de fiecare dată când Word este deschis.
  • Ocolirea protecțiilor standard ale macrocomenzilor de e-mail pentru documentele primite după compromitere.
  • Permiterea trojanului să contacteze un server C2 extern la johnfashionaccess.com, facilitând keylogging-ul, capturarea de capturi de ecran, furtul de acreditări RDP și exfiltrarea fișierelor.

Aceste arhive sunt distribuite în principal prin campanii de spear-phishing.

Exploatarea Gamaredonului

Grupul Gamaredon, afiliat Rusiei, a folosit, de asemenea, CVE-2025-6218 în campanii de phishing care vizează entități militare, guvernamentale, politice și administrative din Ucraina. Malware-ul, denumit Pteranodon, a fost observat pentru prima dată în noiembrie 2025.

Dovezile indică faptul că aceasta nu este o activitate oportunistă. Reprezintă spionaj și sabotaj structurat, cu orientare militară, probabil coordonat de serviciile secrete rusești. În plus, Gamaredon a abuzat de CVE-2025-8088 pentru a distribui malware Visual Basic Script și a implementa un ștergător distructiv numit GamaWiper, marcând prima tranziție observată a grupului de la spionaj la operațiuni distructive.

Concluzii pentru echipele de securitate

Organizațiile și echipele de securitate ar trebui să acorde prioritate următoarelor acțiuni:

  • Asigurați-vă că toate sistemele Windows care rulează WinRAR sunt actualizate la versiunea 7.12 sau o versiune ulterioară.
  • Rămâneți vigilenți împotriva campaniilor de phishing, în special a e-mailurilor de tip spear-phishing care conțin arhive RAR sau documente Word.
  • Monitorizați activitățile suspecte care indică backdoor-uri persistente, keylogging sau încercări de comunicare C2.
  • Recunoașteți faptul că actorii sponsorizați de stat pot combina mai multe vulnerabilități pentru atacuri direcționate.

Aplicarea proactivă de patch-uri, igiena securității e-mailurilor și monitorizarea endpoint-urilor sunt esențiale pentru atenuarea acestor amenințări avansate și limitarea impactului operațional al vulnerabilităților exploatate, cum ar fi CVE-2025-6218.

Trending

Cele mai văzute

Se încarcă...