Таблица със съдържание
Критична заплаха засяга милиони потребители на популярния архивиращ софтуер
Агенцията за киберсигурност на САЩ (CISA) наскоро добави нова сериозна уязвимост във WinRAR към своя каталог на активно експлоатирани заплахи. CVE-2025-6218 представлява path traversal уязвимост, която позволява на хакери да изпълняват зловреден код на засегнатите системи. Още по-тревожното е, че множество хакерски групи вече активно използват тази слабост в кибератаки.
Какво представлява CVE-2025-6218?
Уязвимостта CVE-2025-6218 е класифицирана като path traversal (обхождане на пътища) недостатък с рейтинг 7.8 по скалата CVSS. Тя засяга начина, по който WinRAR обработва файловите пътища в архивните файлове. Проблемът възниква, когато софтуерът не валидира правилно и не дезинфекцира специални символи в пътищата на файловете в RAR архиви.
Когато потребител екстрактва специално създаден злонамерен RAR архив, уязвимостта позволява на атакуващия да поставя файлове извън предназначената директория за екстракция. Това означава, че хакерите могат да инжектират зловреден код в чувствителни системни папки – например в директорията за автоматично стартиране на Windows (Startup folder).
Засегнати са всички Windows версии на WinRAR до версия 7.11 включително. Unix и Android версиите на софтуера не са уязвими към тази атака.
Кои хакерски групи експлоатират уязвимостта?
Според множество доклади от водещи киберсигурностни компании като BI.ZONE, Foresiet, SecPod и Synaptic Security, поне три различни групи вече използват CVE-2025-6218 в реални атаки:
GOFFEE (Paper Werewolf) – Руска хакерска група, която се насочва към организации в Русия чрез фишинг имейли. Групата комбинира CVE-2025-6218 с друга уязвимост за максимална ефективност.
Bitter (APT-C-08) – Насочена към Южна Азия група, която се фокусира върху правителствени организации. Използва злонамерени RAR архиви с имена като „Provision of Information for Sectoral for AJK.rar“, които съдържат безобиден Word документ и зловреден макрос шаблон. След активиране се инсталира C# троянски кон за постоянен достъп.
Gamaredon – Руска държавно-спонсорирана група, насочена към украински военни, правителствени и административни структури. Тази кампания е забелязана за първи път през ноември 2025 г. и представлява структурирана военно-ориентирана шпионска операция. Групата използва уязвимостта за разпространение на зловреден софтуер Pteranodon, а също така е забелязана да извършва деструктивни операции със софтуер за изтриване на данни.
Как работи атаката?
Експлоатацията на CVE-2025-6218 изисква взаимодействие от страна на потребителя – жертвата трябва да посети злонамерена уеб страница или да отвори специално създаден файл. Типичният сценарий на атака включва:
- Фишинг имейл – Атакуващият изпраща целенасочен имейл, маскиран като легитимно съобщение от правителствена институция или доверена организация
- Злонамерен архив – Имейлът съдържа прикачен RAR файл със заблуждаващо име
- Екстракция и активиране – Когато потребителят екстрактира архива, уязвимостта се активира
- Поставяне на зловреден код – Злонамереният файл се копира в Startup папката или друга системна директория
- Изпълнение – При следващото стартиране на системата зловредният код се изпълнява автоматично
- Постоянен достъп – Атакуващите установяват връзка със своя Command & Control сървър за кражба на данни
Как да се защитите от CVE-2025-6218
Незабавни действия (в рамките на 24 часа):
Актуализирайте WinRAR – Най-важната стъпка е да инсталирате WinRAR версия 7.12 или по-нова. RARLAB издаде корекция на 10 юни 2025 г. Важно е да отбележим, че WinRAR няма функция за автоматична актуализация, така че трябва ръчно да изтеглите и инсталирате най-новата версия от официалния сайт win-rar.com.
Проверете версията – Уверете се, че всички компютри във вашата организация или личните ви устройства използват актуализирана версия на софтуера.
Допълнителни мерки за защита:
Подобрено имейл филтриране – Конфигурирайте вашата имейл сигурност да блокира или поставя под карантина подозрителни RAR архиви, особено тези с двойни разширения или необичайни имена.
Обучение на служителите – Образовайте потребителите как да разпознават фишинг атаки и да се отнасят с повишено внимание към неочаквани прикачени файлове, дори когато изглеждат от доверен източник.
Endpoint защита – Използвайте съвременни EDR (Endpoint Detection and Response) решения, които наблюдават подозрителна активност като необичайно записване на файлове в системни папки от страна на архивиращи програми.
Ограничена екстракция – Конфигурирайте системите така, че да ограничават автоматичното екстрактване към потребителски записваеми пътища, където е възможно.
Принцип на най-малка привилегия – Уверете се, че потребителските акаунти работят с минимално необходимите права, за да се ограничи потенциалният ущърб при компрометиране.
Индикатори за компрометиране
Ако подозирате, че сте компрометирани, търсете следните признаци:
- Архивни файлове с подозрителни файлови пътища, съдържащи символи като „../“ или кодирани варианти
- Неочаквани файлове, появяващи се извън директориите за екстракция
- Нови файлове в Startup папката след работа с RAR архиви
- Необичайна мрежова активност след екстракция на архивни файлове
- Аномални процеси, стартиращи се от архивиращи инструменти
CVE-2025-6218 представлява сериозна заплаха заради широкото разпространение на WinRAR и активната експлоатация от множество хакерски групи. Незабавната актуализация на софтуера е критична стъпка за защита на вашите системи и данни.
Не чакайте да станете жертва – актуализирайте WinRAR днес и обърнете внимание на всички имейли със съмнителни прикачени файлове. Киберсигурността започва с превантивни мерки, а не с реакция след инцидент.
