CVE-2025-8088 WinRAR Güvenlik Açığı
Güvenlik araştırmacıları, RARLAB WinRAR'daki artık yamalanmış kritik bir güvenlik açığının birden fazla tehdit aktörü tarafından yaygın bir şekilde istismar edildiğini ortaya çıkardı. Hem ulus devlet düşmanları hem de finansal motivasyonlu gruplar, hedef ortamlara ilk erişimi sağlamak ve çok çeşitli kötü amaçlı yazılımlar yaymak için bu güvenlik açığından yararlandı. Temmuz 2025'te yamalanmış olmasına rağmen, güvenlik açığı çeşitli operasyonlarda kötüye kullanılmaya devam ediyor ve yamalanmamış yazılımlarla ilişkili kalıcı riskleri vurguluyor.
İçindekiler
CVE-2025-8088: Teknik Genel Bakış ve Etki
CVSS puanı 8.8 olan ve CVE-2025-8088 olarak takip edilen güvenlik açığı, 30 Temmuz 2025'te yayınlanan WinRAR 7.13 sürümünde giderilmiştir. Bu güvenlik açığından yararlanmak, yazılımın savunmasız sürümlerinde açılan özel olarak hazırlanmış arşiv dosyaları aracılığıyla rastgele kod yürütülmesine olanak tanır. Temel neden, saldırganların dosyaları hassas konumlara, özellikle de Windows Başlangıç klasörüne bırakmasına olanak tanıyan bir yol geçişi hatasıdır; bu da gizli kalıcılık ve sistem yeniden başlatıldığında ve kullanıcı oturum açtığında otomatik yürütme sağlar.
Bu istismar tekniği, temel uygulama güvenliği hijyeninde ve son kullanıcı farkındalığında daha geniş bir savunma açığını yansıtmaktadır.
Sıfır Gün Saldırılarından N Gün Saldırılarına: Saldırıların Evrimi
Bu güvenlik açığı, özellikle çift amaçlı tehdit grubu RomCom (CIGAR veya UNC4895 olarak da bilinir) tarafından 18 Temmuz 2025 gibi erken bir tarihte sıfır gün açığı olarak istismar edildi. Bu operasyonlar, SnipBot (NESTPACKER) kötü amaçlı yazılımının bir varyantını yaydı. Araştırmacılar ayrıca, Küba fidye yazılımı dağıtımlarıyla bağlantılı olan UNC2596 olarak izlenen küme ile ilgili faaliyetleri de ilişkilendiriyor.
Kamuoyuna duyurulması ve yamalanmasının ardından, güvenlik açığı hızla yaygın olarak istismar edilen bir n-gün açığına dönüştü; saldırganlar, genellikle alternatif veri akışlarına (ADS) gizlenmiş kötü amaçlı dosyaları, yanıltıcı içeriklerin içine yerleştiriyorlardı. Çıkarıldıktan sonra, bu dosyalar önceden belirlenmiş sistem yollarına yerleştiriliyor ve yeniden başlatmanın ardından otomatik olarak tetikleniyordu.
Ulus devlet operasyonları sömürüyü genişletiyor
Hükümetle bağlantılı birçok tehdit grubu, CVE-2025-8088'i aktif kampanyalarına dahil etti. Özellikle Rusya yanlısı aktörler, hem casusluk hem de yıkıcı hedeflerini ilerletmek için özel olarak hazırlanmış yemler ve ikincil zararlı yazılımlar kullandılar:
- Sandworm (APT44 veya FROZENBARENTS olarak da bilinir), Ukrayna temalı yanıltıcı dosyalar içeren arşivlerin yanı sıra ek bileşenleri ele geçirmek için tasarlanmış kötü amaçlı LNK yükleri de dağıttı.
- Gamaredon (CARPATHIAN olarak da bilinir), ilk aşamada HTML Uygulama (HTA) indiricileri içeren RAR arşivleri kullanarak Ukrayna hükümet kurumlarını hedef aldı.
- Turla (SUMMIT olarak da bilinir), Ukrayna ordusu ve insansız hava araçlarıyla ilgili faaliyetlere bağlanan sosyal mühendislik temalarını kullanarak STOCKSTAY kötü amaçlı yazılım çerçevesini dağıtmak için bu güvenlik açığından faydalandı.
Eş zamanlı olarak, Çin merkezli bir tehdit aktörü, aynı güvenlik açığını kullanarak Poison Ivy adlı zararlı yazılımı yükledi. Bu yazılım, Windows Başlangıç klasörüne bırakılan ve ikincil bir yükleyiciyi alacak şekilde yapılandırılmış bir toplu iş dosyası aracılığıyla dağıtılıyor.
Finansal Amaçlı Kampanyalar ve Ticari Hedefleme
Siber suçlu gruplar, bu güvenlik açığını hızla kullanarak ticari kurbanlara karşı yaygın uzaktan erişim truva atları (RAT'ler) ve bilgi hırsızları yerleştirmeye başladı. Gözlemlenen zararlı yazılımlar arasında Telegram botu tarafından kontrol edilen arka kapılar ve AsyncRAT ve XWorm gibi kötü amaçlı yazılım aileleri yer alıyor.
Dikkat çekici bir kampanyada, Brezilyalı kullanıcıları hedef almasıyla bilinen bir siber suç grubu, kötü amaçlı bir Chrome eklentisi dağıttı. Bu eklenti, iki Brezilya bankacılık web sitesinin sayfalarına JavaScript enjekte ederek kimlik avı içerikleri sundu ve kullanıcı kimlik bilgilerini topladı; bu da WinRAR açığıyla elde edilen ilk erişimin esnekliğini gösterdi.
Yeraltı Pazarları ve Sömürülerin Metalaştırılması
CVE-2025-8088 açığının hızlı ve yaygın bir şekilde benimsenmesinin, gelişen bir yeraltı güvenlik açığı ekonomisinden kaynaklandığı değerlendirilmektedir. WinRAR güvenlik açıklarının binlerce dolara satıldığı ve bu durumun çok çeşitli aktörler için giriş engelini düşürdüğü bildirilmiştir. 'Zeroplayer' takma adıyla faaliyet gösteren bir tedarikçi, CVE-2025-8088'in kamuoyuna açıklanmasından önceki haftalarda bir WinRAR güvenlik açığını pazarlamıştır.
Zeroplayer'ın yukarı yönlü bir sağlayıcı olarak devam eden rolü, kullanıma hazır istismar yeteneklerinin geliştirme maliyetlerini düşürdüğü ve çeşitli motivasyonlara sahip grupların karmaşık operasyonlar yürütmesini sağladığı saldırı yaşam döngüsünün ticarileşmesini göstermektedir.
Daha Geniş Bir Desen: WinRAR’daki Ek Güvenlik Açıkları Saldırı Altında
Bu faaliyet, başka bir WinRAR güvenlik açığı olan CVE-2025-6218'e (CVSS puanı: 7.8) yönelik istismar girişimleriyle aynı zamana denk gelmektedir. GOFFEE, Bitter ve Gamaredon dahil olmak üzere birden fazla tehdit aktörünün bu ayrı güvenlik açığından yararlandığı gözlemlenmiştir; bu da n-günlük güvenlik açıklarının oluşturduğu devam eden tehdidi ve düşmanların yeni açıklanan zayıf noktaları ne kadar hızlı bir şekilde kullanıma soktuğunu pekiştirmektedir.
Savunmacılar İçin Stratejik Sonuçlar
Yama uygulanmış WinRAR güvenlik açıklarının sürekli olarak kötüye kullanılması, zamanında yama yönetimi, kullanıcı farkındalık eğitimi ve başlangıç dizinlerindeki yetkisiz dosyalar gibi kalıcılık mekanizmalarının izlenmesinin önemini vurgulamaktadır. Devlet destekli ve suçlu istismarın birleşmesi, kritik güvenlik açıklarının tehdit ortamında ne kadar hızlı bir şekilde paylaşılan kaynaklar haline geldiğini daha da göstermektedir.
