Zraniteľnosť WinRAR CVE-2025-6218

Americká agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) oficiálne pridala bezpečnostnú chybu v archivačnom a kompresnom programe súborov WinRAR do svojho katalógu známych zneužitých zraniteľností (KEV). Agentúra uviedla dôkazy o tom, že táto zraniteľnosť sa aktívne zneužíva, čo vyvoláva obavy u organizácií aj jednotlivých používateľov.

Chyba, sledovaná ako CVE-2025-6218 so skóre CVSS 7,8, je zraniteľnosť umožňujúca prechod cez cestu, ktorá útočníkovi umožňuje spustiť kód v kontexte aktuálneho používateľa. Úspešné zneužitie vyžaduje, aby cieľ buď navštívil škodlivú webovú stránku, alebo otvoril špeciálne vytvorený súbor.

Podrobnosti o stave chyby a opravy

RARLAB túto zraniteľnosť vyriešil vo verzii WinRAR 7.12, vydanej v júni 2025. Chyba sa týka iba zostavení pre systém Windows; verzie pre Unix, Android a ďalšie platformy zostávajú nedotknuté.

Táto zraniteľnosť umožňuje útočníkom umiestniť súbory do citlivých umiestnení v systéme, ako je napríklad priečinok Po spustení systému Windows, čo môže pri ďalšom prihlásení do systému spustiť nechcené spustenie kódu.

Aktivita aktéra hrozby

Viaceré správy o kybernetickej bezpečnosti naznačujú, že vírus CVE-2025-6218 zneužili traja rôzni aktéri kybernetickej hrozby:

• GOFFEE (Papierový vlkodlak)
• Horká (APT-C-08 / Manlinghua)
• Gamaredon
• Kampane GOFFEE

V júli 2025 spoločnosť GOFFEE údajne skombinovala zraniteľnosť CVE-2025-6218 s CVE-2025-8088, ďalšou vysoko závažnou zraniteľnosťou typu „path traversal“ v súbore WinRAR (skóre CVSS 8,8), s cieľom zacieliť na organizácie prostredníctvom phishingových e-mailov. Tieto útoky naznačujú koordinované a sofistikované úsilie o kompromitáciu firemného prostredia.

Trpké zneužívanie APT

Bitter, APT skupina zameraná na južnú Áziu, využila túto zraniteľnosť ako zbraň na udržanie jej perzistencie na napadnutých systémoch a nasadila trójskeho koňa v jazyku C# pomocou ľahkého sťahovača. Útok zahŕňa archív RAR s názvom Provision of Information for Sectoral for AJK.rar, ktorý obsahuje neškodný dokument programu Word a škodlivú šablónu makra.

Medzi kľúčové mechanizmy útoku patria:

• Vložením súboru Normal.dotm do globálnej cesty k šablóne programu Microsoft Word sa zabezpečí automatické spustenie makra pri každom otvorení programu Word.
• Obchádzanie štandardných ochran e-mailových makier pre dokumenty prijaté po kompromitácii.

• Umožnenie trójskeho koňa kontaktovať externý server C2 na adrese johnfashionaccess.com, čo uľahčuje keylogging, snímanie obrazovky, krádež RDP poverení a exfiltráciu súborov.

Tieto archívy sú distribuované predovšetkým prostredníctvom spear-phishingových kampaní.

Vykorisťovanie Gamaredonu

Skupina Gamaredon, ktorá je napojená na Rusko, tiež využila škodlivý kód CVE-2025-6218 v phishingových kampaniach zameraných na ukrajinské vojenské, vládne, politické a administratívne subjekty. Malvér s názvom Pteranodon bol prvýkrát pozorovaný v novembri 2025.

Dôkazy naznačujú, že nejde o oportunistickú aktivitu. Ide o štruktúrovanú, vojensky orientovanú špionáž a sabotáž, pravdepodobne koordinovanú ruskou štátnou spravodajskou službou. Okrem toho Gamaredon zneužil chybu CVE-2025-8088 na šírenie malvéru v jazyku Visual Basic Script a nasadenie deštruktívneho wipera s názvom GamaWiper, čo predstavuje prvý pozorovaný prechod skupiny od špionáže k deštruktívnym operáciám.

Ponaučenia pre bezpečnostné tímy

Organizácie a bezpečnostné tímy by mali uprednostniť nasledujúce akcie:

• Uistite sa, že všetky systémy Windows, na ktorých je spustený WinRAR, sú aktualizované na verziu 7.12 alebo novšiu.
• Buďte ostražití voči phishingovým kampaniam, najmä voči e-mailom typu spear phishing obsahujúcim archívy RAR alebo dokumenty Word.
• Monitorujte podozrivú aktivitu, ktorá by naznačovala pretrvávajúce zadné vrátka, keylogging alebo pokusy o komunikáciu C2.
• Uvedomte si, že štátom sponzorované subjekty môžu kombinovať viacero zraniteľností pre cielené útoky.

Proaktívne opravy, hygiena zabezpečenia e-mailov a monitorovanie koncových bodov sú kľúčové pre zmiernenie týchto pokročilých hrozieb a obmedzenie operačného dopadu zneužitých zraniteľností, ako je CVE-2025-6218.