WinRAR漏洞 CVE-2025-6218
美國網路安全與基礎設施安全局 (CISA) 已正式將 WinRAR 檔案壓縮軟體中的一個安全漏洞添加到其已知可利用漏洞 (KEV) 目錄中。該機構指出,有證據表明該漏洞已被惡意利用,這引起了企業和個人用戶的擔憂。
此漏洞編號為 CVE-2025-6218,CVSS 評分為 7.8,是一個路徑遍歷漏洞,允許攻擊者以目前使用者的權限執行程式碼。成功利用漏洞需要目標使用者造訪惡意網站或開啟特製檔案。
目錄
缺陷詳情及補丁狀態
RARLAB 在 2025 年 6 月發布的 WinRAR 7.12 中修正了此漏洞。此漏洞僅影響基於 Windows 的版本;Unix、Android 和其他平台的版本不受影響。
此漏洞使攻擊者能夠將檔案放置在敏感的系統位置,例如 Windows 啟動資料夾,從而可能在下次系統登入時觸發意外的程式碼執行。
威脅行為者活動
多份網路安全報告顯示,CVE-2025-6218 已被三個不同的威脅行為者利用:
- GOFFEE(紙狼人)
- 苦味(APT-C-08 / 曼靈花)
- 伽瑪雷頓
- 戈菲競選活動
據稱,GOFFEE 於 2025 年 7 月將 CVE-2025-6218 與另一個高風險 WinRAR 路徑遍歷漏洞 CVE-2025-8088(CVSS 評分 8.8)結合使用,透過釣魚郵件攻擊企業組織。這些攻擊表明,這是一起精心策劃且複雜的入侵企業環境的行動。
苦澀的APT利用
專注於南亞地區的APT組織Bitter利用該漏洞,在受感染的系統中保持持久存在,並使用輕量級下載器部署C#木馬程式。這次攻擊涉及一個名為「Provision of Information for Sectoral for AJK.rar」的RAR壓縮文件,其中包含一個看似無害的Word文件和一個惡意巨集模板。
攻擊的關鍵機制包括:
- 將 Normal.dotm 放入 Microsoft Word 的全域範本路徑中,確保每次開啟 Word 時巨集都會自動執行。
這些檔案主要透過網路釣魚活動傳播。
加瑪雷頓剝削
與俄羅斯有關的 Gamaredon 組織也利用 CVE-2025-6218 漏洞發起網路釣魚活動,目標是烏克蘭的軍事、政府、政治和行政機構。該惡意軟體名為 Pteranodon,最早於 2025 年 11 月被發現。
證據表明,這並非一次機會主義活動,而是有組織的、以軍事為導向的間諜和破壞活動,很可能由俄羅斯國家情報機構協調策劃。此外,Gamaredon 還利用 CVE-2025-8088 漏洞傳播 Visual Basic Script 惡意軟體,並部署名為 GamaWiper 的破壞性擦除程序,這標誌著該組織首次從間諜活動轉向破壞性行動。
安全團隊的啟示
組織和安全團隊應優先採取以下行動:
- 請確保所有執行 WinRAR 的 Windows 系統都已更新至 7.12 或更高版本。
- 要隨時警惕網路釣魚活動,特別是包含 RAR 壓縮檔案或 Word 文件的定向網路釣魚電子郵件。
- 監控可疑活動,這些活動可能表示存在持續的後門、鍵盤記錄或 C2 通訊嘗試。
- 要認識到國家支持的行動者可能會結合多種漏洞進行定向攻擊。
主動修補漏洞、電子郵件安全衛生和終端監控對於緩解這些進階威脅以及限制 CVE-2025-6218 等漏洞被利用對營運造成的影響至關重要。
