WinRAR漏洞 CVE-2025-6218
美国网络安全和基础设施安全局 (CISA) 已正式将 WinRAR 文件压缩软件中的一个安全漏洞添加到其已知可利用漏洞 (KEV) 目录中。该机构指出,有证据表明该漏洞已被恶意利用,这引起了企业和个人用户的担忧。
该漏洞编号为 CVE-2025-6218,CVSS 评分为 7.8,是一个路径遍历漏洞,允许攻击者以当前用户的权限执行代码。成功利用该漏洞需要目标用户访问恶意网站或打开特制文件。
目录
缺陷详情及补丁状态
RARLAB 在 2025 年 6 月发布的 WinRAR 7.12 中修复了此漏洞。该漏洞仅影响基于 Windows 的版本;Unix、Android 和其他平台的版本不受影响。
该漏洞使攻击者能够将文件放置在敏感的系统位置,例如 Windows 启动文件夹,从而可能在下次系统登录时触发意外的代码执行。
威胁行为者活动
多份网络安全报告显示,CVE-2025-6218 已被三个不同的威胁行为者利用:
- GOFFEE(纸狼人)
- 苦味(APT-C-08 / 曼灵花)
- 伽玛雷顿
- 戈菲竞选活动
据称,GOFFEE 于 2025 年 7 月将 CVE-2025-6218 与另一个高危 WinRAR 路径遍历漏洞 CVE-2025-8088(CVSS 评分 8.8)结合使用,通过钓鱼邮件攻击企业组织。这些攻击表明,这是一起精心策划且复杂的入侵企业环境的行动。
苦涩的APT利用
专注于南亚地区的APT组织Bitter利用该漏洞,在受感染的系统中保持持久存在,并使用轻量级下载器部署C#木马程序。此次攻击涉及一个名为“Provision of Information for Sectoral for AJK.rar”的RAR压缩文件,其中包含一个看似无害的Word文档和一个恶意宏模板。
攻击的关键机制包括:
- 将 Normal.dotm 放入 Microsoft Word 的全局模板路径中,确保每次打开 Word 时宏都会自动执行。
这些档案主要通过网络钓鱼活动传播。
加玛雷顿剥削
与俄罗斯有关联的 Gamaredon 组织也利用 CVE-2025-6218 漏洞发起网络钓鱼活动,目标是乌克兰的军事、政府、政治和行政机构。该恶意软件名为 Pteranodon,最早于 2025 年 11 月被发现。
证据表明,这并非一次机会主义活动,而是有组织的、以军事为导向的间谍和破坏活动,很可能由俄罗斯国家情报机构协调策划。此外,Gamaredon 还利用 CVE-2025-8088 漏洞传播 Visual Basic Script 恶意软件,并部署名为 GamaWiper 的破坏性擦除程序,这标志着该组织首次从间谍活动转向破坏性行动。
安全团队的启示
组织和安全团队应优先采取以下行动:
- 请确保所有运行 WinRAR 的 Windows 系统都已更新至 7.12 或更高版本。
- 要时刻警惕网络钓鱼活动,特别是包含 RAR 压缩文件或 Word 文档的定向网络钓鱼电子邮件。
- 监控可疑活动,这些活动可能表明存在持续的后门、键盘记录或 C2 通信尝试。
- 要认识到国家支持的行动者可能会结合多种漏洞进行定向攻击。
主动修补漏洞、电子邮件安全卫生和终端监控对于缓解这些高级威胁以及限制 CVE-2025-6218 等漏洞被利用对运营造成的影响至关重要。
