آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) نسبت به بهرهبرداری فعال از یک آسیبپذیری تازه در نرمافزار «وینرار» (WinRAR) هشدار داده و آن را به فهرست «آسیبپذیریهای مورد سوءاستفاده» افزوده است.
این آسیبپذیری با شناسه CVE-2025-6218 و امتیاز شدت ۷.۸ بهعنوان یک نقص مسیریابی (Path Traversal) شناسایی شده که در صورت باز کردن فایل آلوده یا مراجعه به صفحهای مخرب، امکان اجرای کدهای دلخواه در بستر کاربر را برای مهاجم فراهم میکند.
شرکت RARLAB که توسعهدهنده این نرمافزار است، در ژوئن ۲۰۲۵ با انتشار نسخه ۷.۱۲ این آسیبپذیری را رفع کرده است. این نقص تنها نسخههای ویندوزی WinRAR را تحتتاثیر قرار میدهد و نسخههای دیگر از جمله سیستمعاملهای یونیکس و اندروید مصون هستند.
بر اساس گزارشهای منتشر شده از سوی شرکتهای امنیتی، سه گروه تهدیدگر مجزا با نامهای GOFFEE، Bitter و Gamaredon از این آسیبپذیری سوءاستفاده کردهاند.
تحقیقات نشان میدهد گروه GOFFEE در حملات فیشینگ علیه سازمانهای روسی، این نقص را همراه با آسیبپذیری دیگری با کد CVE-2025-8088 بهکار گرفته است.
همزمان، گروه Bitter که تمرکز فعالیتهایش بر آسیای جنوبی است، با استفاده از این آسیبپذیری موفق به حفظ دسترسی به سیستم قربانی و نصب یک تروجان نوشتهشده با زبان C# شده است. این بدافزار از طریق فایل RAR آلودهای منتشر شده که حاوی یک سند Word بیخطر و یک قالب ماکروی مخرب به نام Normal.dotm بوده و امکان اجرای خودکار کدهای مخرب را در هر بار اجرای Word فراهم میکند.
این تروجان با سروری به نشانی johnfashionaccess[.]com ارتباط برقرار کرده و قابلیتهایی چون ثبت کلیدهای فشردهشده، گرفتن اسکرینشات، استخراج فایلها و سرقت اطلاعات ورود RDP را دارد.
در موردی دیگر، گروه روسی Gamaredon این نقص را در کارزارهای هدفمند علیه نهادهای نظامی، سیاسی و دولتی اوکراین بهکار گرفته و بدافزاری با نام Pteranodon را منتشر کرده است. به گفته تحلیلگران، این عملیات نهتنها جنبه جاسوسی بلکه تخریبگرایانه نیز داشته و در جریان آن، یک پاککننده اطلاعات (Wiper) با نام GamaWiper نیز مورد استفاده قرار گرفته است.
بهدلیل شدت تهدید، سازمانهای فدرال ایالات متحده موظف شدهاند تا پیش از ۳۰ دسامبر ۲۰۲۵ این آسیبپذیری را در سامانههای خود برطرف کنند.
توضیحات بیشتر:
Warning: WinRAR Vulnerability CVE-2025-6218 Under Active Attack by Multiple Threat Groups