Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Cenueshmëria Vulnerabiliteti i WinRAR CVE-2025-6218

Vulnerabiliteti i WinRAR CVE-2025-6218

Nga MezoCenueshmëria, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Agjencia Amerikane e Sigurisë Kibernetike dhe Sigurisë së Infrastrukturës (CISA) ka shtuar zyrtarisht një të metë sigurie në arkivuesin e skedarëve dhe programin e kompresimit WinRAR në katalogun e saj të Dobësive të Shfrytëzuara të Njohura (KEV). Agjencia përmendi prova se dobësia po shfrytëzohet në mënyrë aktive, duke ngritur shqetësime si për organizatat ashtu edhe për përdoruesit individualë.

E meta, e gjurmuar si CVE-2025-6218 me një rezultat CVSS prej 7.8, është një dobësi në përshkimin e rrugës që i lejon një sulmuesi të ekzekutojë kod në kontekstin e përdoruesit aktual. Shfrytëzimi i suksesshëm kërkon që objektivi ose të vizitojë një faqe interneti keqdashëse ose të hapë një skedar të krijuar posaçërisht.

Detajet e defektit dhe statusit të patch-it

RARLAB e trajtoi këtë dobësi në WinRAR 7.12, të lëshuar në qershor 2025. Gabimi prek vetëm versionet e bazuara në Windows; versionet për Unix, Android dhe platforma të tjera mbeten të paprekura.

Dobësia u mundëson sulmuesve të vendosin skedarë në vende të ndjeshme të sistemit, siç është dosja Windows Startup, duke shkaktuar potencialisht ekzekutim të padëshiruar të kodit pas hyrjes tjetër në sistem.

Aktiviteti i aktorit kërcënues

Raporte të shumta të sigurisë kibernetike tregojnë se CVE-2025-6218 është shfrytëzuar nga tre aktorë të ndryshëm kërcënimi:

  • GOFFEE (Ujk Letre)
  • Bitter (APT-C-08 / Manlinghua)
  • Gamaredon
  • Fushatat GOFFEE

Në korrik të vitit 2025, GOFFEE dyshohet se kombinoi CVE-2025-6218 me CVE-2025-8088, një tjetër dobësi me rëndësi të lartë në përshkimin e shtegut WinRAR (rezultati CVSS 8.8), për të synuar organizatat nëpërmjet emaileve phishing. Këto sulme sugjerojnë një përpjekje të koordinuar dhe të sofistikuar për të kompromentuar mjediset e korporatave.

Shfrytëzimi i hidhur i APT-së

Bitter, një grup APT i fokusuar në Azinë Jugore, e përdori këtë dobësi si armë për të ruajtur qëndrueshmërinë në sistemet e kompromentuara dhe për të vendosur një trojan C# duke përdorur një shkarkues të lehtë. Sulmi përfshin një arkiv RAR të quajtur Provision of Information for Sectoral për AJK.rar, i cili përmban një dokument Word të mirëfilltë dhe një shabllon makro të dëmshëm.

Mekanizmat kryesorë të sulmit përfshijnë:

  • Duke vendosur Normal.dotm në shtegun global të shabllonit të Microsoft Word, duke siguruar që makroja të ekzekutohet automatikisht sa herë që hapet Word.
  • Anashkalimi i mbrojtjeve standarde të makrove të email-it për dokumentet e marra pas kompromentimit.
  • Duke i mundësuar trojanit të kontaktojë një server të jashtëm C2 në johnfashionaccess.com, duke lehtësuar regjistrimin e çelësave, kapjen e pamjeve të ekranit, vjedhjen e kredencialeve RDP dhe nxjerrjen e skedarëve.

Këto arkiva shpërndahen kryesisht përmes fushatave të spear-phishing.

Shfrytëzimi i Gamaredonit

Grupi Gamaredon i lidhur me Rusinë ka përdorur gjithashtu CVE-2025-6218 në fushatat e phishing-ut që synojnë entitetet ushtarake, qeveritare, politike dhe administrative të Ukrainës. Malware-i, i quajtur Pteranodon, u vu re për herë të parë në nëntor 2025.

Provat tregojnë se ky nuk është një aktivitet oportunist. Ai përfaqëson spiunazh dhe sabotim të strukturuar, të orientuar drejt ushtrisë, me shumë gjasa të koordinuar nga inteligjenca shtetërore ruse. Përveç kësaj, Gamaredon ka abuzuar me CVE-2025-8088 për të shpërndarë malware Visual Basic Script dhe për të vendosur një fshirës shkatërrues të quajtur GamaWiper, duke shënuar kalimin e parë të vëzhguar të grupit nga spiunazhi në operacione shkatërruese.

Përmbledhje për Ekipet e Sigurisë

Organizatat dhe ekipet e sigurisë duhet të përparësojnë veprimet e mëposhtme:

  • Sigurohuni që të gjitha sistemet Windows që përdorin WinRAR janë përditësuar në versionin 7.12 ose më të ri.
  • Qëndroni vigjilentë ndaj fushatave të phishing-ut, veçanërisht emaileve spear-phishing që përmbajnë arkiva RAR ose dokumente Word.
  • Monitoroni për aktivitet të dyshimtë që tregon backdoor-e të vazhdueshme, keylogging ose përpjekje komunikimi C2.
  • Njihni që aktorët e sponsorizuar nga shteti mund të kombinojnë dobësi të shumta për sulme të synuara.

Patch-et proaktive, higjiena e sigurisë së email-it dhe monitorimi i pikave fundore janë thelbësore për të zbutur këto kërcënime të avancuara dhe për të kufizuar ndikimin operativ të dobësive të shfrytëzuara si CVE-2025-6218.

Në trend

Më e shikuara

Po ngarkohet...