Ranljivost WinRAR-ja CVE-2025-6218

Ameriška agencija za kibernetsko varnost in varnost infrastrukture (CISA) je v svoj katalog znanih izkoriščenih ranljivosti (KEV) uradno dodala varnostno napako v orodju za arhiviranje in stiskanje datotek WinRAR. Agencija je navedla dokaze, da se ranljivost aktivno izkorišča, kar vzbuja zaskrbljenost tako pri organizacijah kot pri posameznih uporabnikih.

Napaka, označena kot CVE-2025-6218 z oceno CVSS 7,8, je ranljivost prečkanja poti, ki napadalcu omogoča izvajanje kode v kontekstu trenutnega uporabnika. Za uspešno izkoriščanje mora tarča obiskati zlonamerno spletno mesto ali odpreti posebej oblikovano datoteko.

Podrobnosti o stanju napake in popravka

RARLAB je to ranljivost odpravil v različici WinRAR 7.12, izdani junija 2025. Napaka vpliva samo na različice za sisteme Windows; različice za Unix, Android in druge platforme ostajajo nespremenjene.

Ranljivost napadalcem omogoča, da datoteke namestijo na občutljiva mesta v sistemu, kot je mapa zagona sistema Windows, kar lahko sproži nenamerno izvajanje kode ob naslednji prijavi v sistem.

Dejavnost akterja grožnje

Več poročil o kibernetski varnosti kaže, da so CVE-2025-6218 izkoristili trije različni akterji grožnje:

• GOFFEE (Papirnati volkodlak)
• Grenko (APT-C-08 / Manlinghua)
• Gamaredon
• GOFFEE kampanje

Julija 2025 naj bi GOFFEE združil ranljivost CVE-2025-6218 z ranljivostjo CVE-2025-8088, še eno zelo resno ranljivostjo prehoda poti WinRAR (ocena CVSS 8,8), da bi ciljal na organizacije prek lažnih e-poštnih sporočil. Ti napadi kažejo na usklajen in dovršen poskus ogrožanja poslovnih okolij.

Grenko izkoriščanje APT-ja

Bitter, skupina za APT, osredotočena na Južno Azijo, je ranljivost izkoristila za orožje, da bi ohranila obstojnost na ogroženih sistemih in namestila trojanca C# z uporabo lahkega programa za prenos. Napad vključuje arhiv RAR z imenom Provision of Information for Sectoral for AJK.rar, ki vsebuje neškodljiv dokument Word in zlonamerno predlogo makra.

Ključne mehanike napada vključujejo:

• S spuščanjem datoteke Normal.dotm v globalno pot predloge programa Microsoft Word zagotovite, da se makro samodejno izvede vsakič, ko odprete Word.
• Obhod standardnih zaščitnih ukrepov makrov za dokumente, prejete po ogroženju.

• Omogočanje trojancu, da se poveže z zunanjim strežnikom C2 na naslovu johnfashionaccess.com, kar omogoča beleženje vnosov tipk, zajem zaslona, krajo poverilnic RDP in izbruh datotek.

Ti arhivi se distribuirajo predvsem prek kampanj za lažno predstavljanje.

Izkoriščanje Gamaredona

Z Rusijo povezana skupina Gamaredon je CVE-2025-6218 uporabljala tudi v phishing kampanjah, usmerjenih proti ukrajinskim vojaškim, vladnim, političnim in upravnim subjektom. Zlonamerna programska oprema, poimenovana Pteranodon, je bila prvič opažena novembra 2025.

Dokazi kažejo, da to ni oportunistično dejavnost. Gre za strukturirano, vojaško usmerjeno vohunjenje in sabotažo, ki jo verjetno koordinira ruska državna obveščevalna služba. Poleg tega je Gamaredon zlorabil CVE-2025-8088 za namestitev zlonamerne programske opreme Visual Basic Script in uničevalnega brisalca z imenom GamaWiper, kar pomeni prvi opaženi prehod skupine od vohunjenja k uničevalnim operacijam.

Sklepi za varnostne ekipe

Organizacije in varnostne ekipe bi morale dati prednost naslednjim ukrepom:

• Prepričajte se, da so vsi sistemi Windows, v katerih se izvaja WinRAR, posodobljeni na različico 7.12 ali novejšo.
• Bodite pozorni na kampanje lažnega predstavljanja, zlasti na e-poštna sporočila z lažnim predstavljanjem, ki vsebujejo arhive RAR ali dokumente Word.
• Spremljajte sumljive dejavnosti, ki kažejo na vztrajne stranske vdore, beleženje tipk ali poskuse komunikacije C2.
• Zavedajte se, da lahko akterji, ki jih sponzorira država, združujejo več ranljivosti za ciljno usmerjene napade.

Proaktivno nameščanje popravkov, higiena varnosti e-pošte in spremljanje končnih točk so ključnega pomena za ublažitev teh naprednih groženj in omejevanje operativnega vpliva izkoriščenih ranljivosti, kot je CVE-2025-6218.