CVE-2025-8088 WinRAR Cenueshmëri
Studiuesit e sigurisë kanë zbuluar shfrytëzim të gjerë të një dobësie kritike në RARLAB WinRAR, e cila tani është përditësuar, nga aktorë të shumtë kërcënues. Si kundërshtarët e shteteve kombëtare ashtu edhe grupet e motivuara financiarisht e kanë shfrytëzuar këtë të metë për të fituar akses fillestar në mjediset e synuara dhe për të vendosur një gamë të gjerë ngarkesash keqdashëse. Pavarësisht se u përditësua në korrik 2025, dobësia vazhdon të abuzohet në operacione të ndryshme, duke nxjerrë në pah rreziqet e vazhdueshme që lidhen me softuerët e papërditësuar.
Tabela e Përmbajtjes
CVE-2025-8088: Përmbledhje Teknike dhe Ndikim
Dobësia, e gjurmuar si CVE-2025-8088 me një rezultat CVSS prej 8.8, u adresua në versionin 7.13 të WinRAR, të lëshuar më 30 korrik 2025. Shfrytëzimi mundëson ekzekutimin arbitrar të kodit përmes skedarëve të arkivuar të krijuar posaçërisht të hapur në versionet e cenueshme të softuerit. Shkaku rrënjësor është një defekt i përshkimit të shtegut që u lejon sulmuesve të hedhin skedarë në vende të ndjeshme, më së shumti në dosjen Windows Startup, duke mundësuar vazhdimësi të fshehtë dhe ekzekutim automatik pas rinisjes së sistemit dhe hyrjes së përdoruesit.
Kjo teknikë shfrytëzimi pasqyron një boshllëk më të gjerë mbrojtës në higjienën bazë të sigurisë së aplikacioneve dhe ndërgjegjësimin e përdoruesit fundor.
Nga Dita Zero në Ditën N: Evolucioni i Sulmeve
E meta u shfrytëzua si një gabim zero-day që në 18 korrik 2025, veçanërisht nga grupi i kërcënimeve me motivim të dyfishtë RomCom (i njohur edhe si CIGAR ose UNC4895). Këto operacione sollën një variant të malware-it SnipBot (NESTPACKER). Studiuesit gjithashtu e shoqërojnë aktivitetin e lidhur me grumbullin e gjurmuar si UNC2596, i cili është lidhur me vendosjen e Cuba Ransomware.
Pas zbulimit publik dhe rregullimit të sistemit, dobësia u shndërrua me shpejtësi në një dobësi që shfrytëzohej gjerësisht si n-day, me sulmuesit që ngulisnin skedarë keqdashës, shpesh ngarkesa të shkurtesave të Windows (LNK) të fshehura në rrjedha alternative të të dhënave (ADS), brenda përmbajtjes mashtruese. Pasi nxirren, këta skedarë vendosen në shtigje të paracaktuara të sistemit dhe aktivizohen automatikisht pas një rinisjeje.
Operacionet Shtetërore Kombëtare Zgjerojnë Shfrytëzimin
Grupe të shumta kërcënimesh të lidhura me qeverinë e kanë përfshirë CVE-2025-8088 në fushata aktive. Aktorët e lidhur me Rusinë, në veçanti, kanë përdorur karrem të personalizuar dhe ngarkesa dytësore për të çuar përpara si spiunazhin ashtu edhe objektivat shkatërruese:
- Sandworm (i njohur edhe si APT44 ose FROZENBARENTS) vendosi arkiva që përmbanin skedarë karrem me temë ukrainase së bashku me ngarkesa dashakeqe LNK të dizajnuara për të rikuperuar komponentë shtesë.
- Gamaredon (i njohur edhe si CARPATHIAN) shënjestroi entitetet qeveritare ukrainase duke përdorur arkivat RAR që ofronin shkarkues të Aplikacioneve HTML (HTA) si fazë të parë.
- Turla (e njohur edhe si SUMMIT) e abuzoi këtë të metë për të shpërndarë kornizën e malware-it STOCKSTAY, duke përdorur tema të inxhinierisë sociale të lidhura me aktivitetet ushtarake ukrainase dhe ato që lidhen me dronë.
Paralelisht, një aktor kërcënimi me bazë në Kinë e ka përdorur të njëjtën dobësi për të instaluar Poison Ivy, të dorëzuar përmes një skripti batch të hedhur në dosjen Windows Startup dhe të konfiguruar për të marrë një dropper dytësor.
Fushatat e Motivuara Financiare dhe Targetimi Komercial
Grupet kiberkriminale e përvetësuan shpejt këtë dobësi për të vendosur trojanë me akses në distancë (RAT) dhe vjedhës informacioni kundër viktimave komerciale. Ngarkesat e vëzhguara përfshijnë dyer të pasme të kontrolluara nga bot-ët e Telegramit, si dhe familje programesh keqdashëse si AsyncRAT dhe XWorm.
Në një fushatë të rëndësishme, një grup krimi kibernetik i njohur për shënjestrimin e përdoruesve brazilianë shpërndau një zgjerim keqdashës të Chrome. Ky zgjerim injektoi JavaScript në faqet e dy faqeve të internetit bankare braziliane për të paraqitur përmbajtje phishing dhe për të mbledhur kredencialet e përdoruesve, duke demonstruar fleksibilitetin e aksesit fillestar të fituar përmes shfrytëzimit WinRAR.
Tregjet e fshehta dhe komoditizimi i shfrytëzimeve
Përhapja e shpejtë dhe e gjerë e CVE-2025-8088 vlerësohet se rrjedh nga një ekonomi e lulëzuar e shfrytëzimit të fshehtë. Shfrytëzimet e WinRAR thuhet se u reklamuan për mijëra dollarë, duke ulur barrierën e hyrjes për një gamë të gjerë aktorësh. Një furnizues që vepronte nën pseudonimin 'zeroplayer' tregtoi një shfrytëzim të WinRAR në javët para zbulimit publik të CVE-2025-8088.
Roli i vazhdueshëm i Zeroplayer si një ofrues në rrjedhën e sipërme ilustron komoditizimin e ciklit jetësor të sulmit, ku aftësitë shfrytëzuese të gatshme ulin kostot e zhvillimit dhe u mundësojnë grupeve me motivime të ndryshme të kryejnë operacione të sofistikuara.
Një model më i gjerë: Të meta shtesë të WinRAR nën sulm
Ky aktivitet përkon me përpjekjet e shfrytëzimit kundër një tjetër dobësie të WinRAR, CVE-2025-6218 (rezultati CVSS: 7.8). Aktorë të shumtë kërcënimi, duke përfshirë GOFFEE, Bitter dhe Gamaredon, janë vërejtur duke shfrytëzuar këtë të metë të veçantë, duke përforcuar kërcënimin e vazhdueshëm që paraqesin dobësitë n-ditore dhe shpejtësinë me të cilën kundërshtarët i vënë në funksion dobësitë e zbuluara rishtazi.
Implikime Strategjike për Mbrojtësit
Abuzimi i vazhdueshëm i dobësive të patch-uara të WinRAR nënvizon rëndësinë e menaxhimit në kohë të patch-eve, trajnimit të ndërgjegjësimit të përdoruesve dhe monitorimit për mekanizmat e qëndrueshmërisë, siç janë skedarët e paautorizuar në drejtoritë e fillimit. Konvergjenca e shfrytëzimit të sponsorizuar nga shteti dhe atij kriminal tregon më tej se sa shpejt dobësitë kritike bëhen burime të përbashkëta në të gjithë peizazhin e kërcënimeve.
