Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Güvenlik Açığı WinRAR Güvenlik Açığı CVE-2025-6218

WinRAR Güvenlik Açığı CVE-2025-6218

Mezo'de Güvenlik Açığı, Gelişmiş Sürekli Tehdit (APT)'de
Çevir:

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), WinRAR dosya arşivleme ve sıkıştırma programındaki bir güvenlik açığını, Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna resmen ekledi. Ajans, güvenlik açığının aktif olarak istismar edildiğine dair kanıtlar olduğunu belirterek, hem kuruluşlar hem de bireysel kullanıcılar için endişeleri artırdığını ifade etti.

CVSS puanı 7.8 olan ve CVE-2025-6218 olarak takip edilen bu güvenlik açığı, saldırganın mevcut kullanıcının yetkileri dahilinde kod çalıştırmasına olanak tanıyan bir yol geçişi güvenlik açığıdır. Başarılı bir istismar için hedefin ya kötü amaçlı bir web sitesini ziyaret etmesi ya da özel olarak hazırlanmış bir dosyayı açması gerekmektedir.

Hata ve Yama Durumuna İlişkin Ayrıntılar

RARLAB, Haziran 2025'te yayınlanan WinRAR 7.12 sürümünde bu güvenlik açığını giderdi. Bu kusur yalnızca Windows tabanlı sürümleri etkiliyor; Unix, Android ve diğer platformlar için olan sürümler etkilenmeden kalıyor.

Bu güvenlik açığı, saldırganların Windows Başlangıç klasörü gibi hassas sistem konumlarına dosya yerleştirmesine olanak tanıyarak, bir sonraki sistem oturum açılışında istenmeyen kod yürütülmesini tetikleyebilir.

Tehdit Aktörü Faaliyetleri

Çeşitli siber güvenlik raporları, CVE-2025-6218 güvenlik açığının üç farklı tehdit aktörü tarafından istismar edildiğini göstermektedir:

  • GOFFEE (Kağıt Kurt Adam)
  • Acı (APT-C-08 / Manlinghua)
  • Oyunedon
  • GOFFEE Kampanyaları

Temmuz 2025'te GOFFEE'nin, CVE-2025-6218 açığını, yüksek önem derecesine sahip bir diğer WinRAR yol geçişi güvenlik açığı olan CVE-2025-8088 (CVSS puanı 8.8) ile birleştirerek, kimlik avı e-postaları aracılığıyla kuruluşları hedef aldığı iddia ediliyor. Bu saldırılar, kurumsal ortamları tehlikeye atmaya yönelik koordineli ve sofistike bir çabayı gösteriyor.

Acımasız APT İstismarı

Güney Asya odaklı bir APT grubu olan Bitter, bu güvenlik açığını kullanarak ele geçirdiği sistemlerde kalıcı bir varlık oluşturdu ve hafif bir indirme programı kullanarak bir C# truva atı dağıttı. Saldırı, zararsız bir Word belgesi ve kötü amaçlı bir makro şablonu içeren "Provision of Information for Sectoral for AJK.rar" adlı bir RAR arşivini içeriyor.

Saldırının temel mekanikleri şunlardır:

  • Normal.dotm dosyasını Microsoft Word'ün genel şablon yoluna bırakarak, Word her açıldığında makronun otomatik olarak çalışmasını sağlıyoruz.
  • Sistemin ele geçirilmesinin ardından alınan belgeler için standart e-posta makro korumalarını devre dışı bırakma.
  • Bu truva atı, johnfashionaccess.com adresindeki harici bir C2 sunucusuyla iletişim kurarak keylogging, ekran görüntüsü yakalama, RDP kimlik bilgilerinin çalınması ve dosya sızdırma işlemlerini kolaylaştırır.

Bu arşivler öncelikle hedefli kimlik avı kampanyaları aracılığıyla dağıtılmaktadır.

Gameredon Sömürüsü

Rusya bağlantılı Gamaredon grubu, Ukrayna askeri, hükümet, siyasi ve idari kurumlarını hedef alan kimlik avı kampanyalarında da CVE-2025-6218 güvenlik açığını kullandı. Pteranodon adı verilen bu kötü amaçlı yazılım ilk olarak Kasım 2025'te tespit edildi.

Kanıtlar bunun fırsatçı bir faaliyet olmadığını gösteriyor. Bu, muhtemelen Rus devlet istihbaratı tarafından koordine edilen, yapılandırılmış, askeri odaklı casusluk ve sabotaj faaliyetini temsil ediyor. Ayrıca, Gamaredon, Visual Basic Script kötü amaçlı yazılımını yaymak ve GamaWiper adlı yıkıcı bir silme programını devreye sokmak için CVE-2025-8088 açığını kötüye kullandı; bu da grubun casusluktan yıkıcı operasyonlara geçişinin ilk gözlemlenen örneğidir.

Güvenlik Ekipleri İçin Önemli Noktalar

Kuruluşlar ve güvenlik ekipleri aşağıdaki eylemlere öncelik vermelidir:

  • WinRAR çalıştıran tüm Windows sistemlerinin 7.12 veya daha yeni bir sürüme güncellendiğinden emin olun.
  • Özellikle RAR arşivleri veya Word belgeleri içeren hedefli kimlik avı e-postaları olmak üzere, kimlik avı saldırılarına karşı tetikte olun.
  • Kalıcı arka kapılar, keylogging veya C2 iletişim girişimleri gibi şüpheli etkinlikleri izleyin.
  • Devlet destekli aktörlerin hedefli saldırılar için birden fazla güvenlik açığını bir araya getirebileceğini unutmayın.

Proaktif yama yükleme, e-posta güvenliği hijyeni ve uç nokta izleme, bu gelişmiş tehditleri azaltmak ve CVE-2025-6218 gibi istismar edilen güvenlik açıklarının operasyonel etkisini sınırlamak için kritik öneme sahiptir.

trend

En çok görüntülenen

Yükleniyor...