آسیب‌پذیری روز صفر WinRAR تحت بهره‌برداری فعال - فوراً به آخرین نسخه به‌روزرسانی کنید! - مرکز پژوهشی آپا

توسعه‌دهندگان ابزار بایگانی فایل WinRAR به‌روزرسانی‌ای را برای رفع یک آسیب‌پذیری روز صفر که به‌طور فعال مورد بهره‌برداری قرار گرفته است، منتشر کرده‌اند.

این مشکل که با شناسه CVE-2025-8088 (امتیاز ۸٫۸ در CVSS) ردیابی می‌شود[۱]، به‌عنوان موردی از پیمایش مسیر توصیف شده است که نسخه ویندوز این ابزار را تحت تأثیر قرار می‌دهد و می‌تواند برای اجرای کد دلخواه با ساخت فایل‌های بایگانی مخرب مورد بهره‌برداری قرار گیرد.

WinRAR در یک توصیه‌نامه گفت[۲]: «هنگام استخراج یک فایل، نسخه‌های قبلی WinRAR، نسخه‌های ویندوز RAR، UnRAR، کد منبع UnRAR قابل‌حمل و UnRAR.dll را می‌توان فریب داد تا به‌جای یک مسیر مشخص، از یک مسیر تعریف‌شده در یک بایگانی به‌طور خاص ساخته‌شده استفاده کنند.» آنتون چرپانوف، پیتر کوسینار و پیتر استرایچک از ESET به خاطر کشف و گزارش این نقص امنیتی که در نسخه ۷.۱۳ نرم‌افزار WinRAR که در ۳۱ جولای ۲۰۲۵ منتشر شد، برطرف شده است، موردتقدیر قرار گرفته‌اند.

در حال حاضر مشخص نیست که این آسیب‌پذیری چگونه و توسط چه کسی در حملات دنیای واقعی مورداستفاده قرار می‌گیرد. در سال ۲۰۲۳، آسیب‌پذیری دیگری که WinRAR را تحت تأثیر قرار می‌داد (CVE-2023-38831، امتیاز ۷٫۸ در CVSS) توسط چندین عامل تهدید از چین و روسیه مورد بهره‌برداری[۳] شدید[۴]، ازجمله به‌عنوان یک آسیب‌پذیری روز صفر، قرار گرفت[۵].

شرکت روسی BI.ZONE در گزارشی که هفته گذشته منتشر کرد، اعلام کرد نشانه‌هایی وجود دارد مبنی بر اینکه گروه هکری که با نام Paper Werewolf (معروف به GOFFEE) ردیابی می‌شود[۶]، ممکن است از CVE-2025-8088 در کنار CVE-2025-6218، یک اشکال پیمایش دایرکتوری در نسخه ویندوز WinRAR که در ژوئن ۲۰۲۵ وصله شد، استفاده کرده باشد.

لازم به ذکر است که پیش‌ازاین حملات، یک عامل تهدید با نام “zeroplayer” در ۷ ژوئیه ۲۰۲۵ در حال تبلیغ یک بهره‌بردار روز صفر WinRAR در انجمن وب تاریک روسی‌زبان Exploit.in با قیمت ۸۰،۰۰۰ دلار مشاهده شد. گمان می‌رود که عاملان Paper Werewolf آن را به دست آورده و برای حملات خود استفاده کرده باشند[۷].

WinRAR در آن زمان در هشداری برای CVE-2025-6218 گفت[۸]: «در نسخه‌های قبلی WinRAR، و همچنین RAR، UnRAR، UnRAR.dll و کد منبع قابل‌حمل UnRAR برای ویندوز، یک بایگانی مخصوص ساخته‌شده حاوی کد دلخواه می‌توانست برای دست‌کاری مسیرهای فایل در حین استخراج استفاده شود.»

«برای بهره‌برداری از این آسیب‌پذیری، تعامل کاربر لازم است که می‌تواند باعث شود فایل‌ها خارج از دایرکتوری موردنظر نوشته شوند. این نقص می‌تواند برای قرار دادن فایل‌ها در مکان‌های حساس – مانند پوشه راه‌اندازی ویندوز – مورد بهره‌برداری قرار گیرد که به‌طور بالقوه منجر به اجرای ناخواسته کد در ورود بعدی به سیستم می‌شود.»

طبق گفته BI.ZONE، این حملات در ژوئیه ۲۰۲۵ از طریق ایمیل‌های فیشینگ حاوی بایگانی‌های تله‌گذاری شده، سازمان‌های روسی را هدف قرار دادند که هنگام اجرا، CVE-2025-6218 و احتمالاً CVE-2025-8088 را برای نوشتن فایل‌ها در خارج از دایرکتوری هدف و دستیابی به اجرای کد فعال می‌کردند، درحالی‌که یک سند جعلی به‌عنوان حواس‌پرتی به قربانی ارائه می‌شد.

BI.ZONE گفت[۹]: «این آسیب‌پذیری مربوط به این واقعیت است که هنگام ایجاد یک آرشیو RAR، می‌توانید فایلی را با جریان‌های داده جایگزین که نام آن‌ها شامل مسیرهای نسبی است، وارد کنید. این جریان‌ها می‌توانند حاوی بار داده دلخواه باشند. هنگام باز کردن چنین آرشیوی یا باز کردن یک فایل پیوست شده مستقیماً از آرشیو، داده‌های جریان‌های جایگزین در دایرکتوری‌های دلخواه روی دیسک نوشته می‌شوند که یک حمله پیمایش دایرکتوری است.»

«این آسیب‌پذیری نسخه‌های WinRAR تا ۷.۱۲ و ازجمله آن را تحت تأثیر قرار می‌دهد. از نسخه ۷.۱۳ به بعد، این آسیب‌پذیری دیگر بازتولید نمی‌شود.»

یکی از بارهای داده مخرب موردبحث، یک بارگذار .NET است که برای ارسال اطلاعات سیستم به یک سرور خارجی و دریافت بدافزار اضافی، ازجمله یک اسمبلی رمزگذاری شده .NET، طراحی شده است.

این شرکت افزود: «Paper Werewolf از بارگذار C# برای دریافت نام رایانه قربانی و ارسال آن در لینک تولیدشده به سرور برای دریافت بار داده استفاده می‌کند. Paper Werewolf از سوکت‌های موجود در پوسته معکوس برای ارتباط با سرور کنترل استفاده می‌کند.

نقص WinRAR نیز توسط RomCom مورد بهره‌برداری قرار گرفت.

شرکت امنیت سایبری ESET در اسلواکی اعلام کرد که گروه RomCom که با روسیه همسو است، از آسیب‌پذیری CVE-2025-8088 به‌عنوان یک آسیب‌پذیری روز صفر بهره‌برداری می‌کند و این سومین باری است که این گروه هکری پس از CVE-2023-36884 (ژوئن ۲۰۲۳)، CVE‑۲۰۲۴‑۹۶۸۰ [۱۰]و CVE‑۲۰۲۴‑۴۹۰۳۹ (اکتبر ۲۰۲۴) [۱۱] از آسیب‌پذیری‌های روز صفر در حملات خود استفاده می‌کند.

محققان Cherepanov، Strycek و Damien Schaeffer گفتند[۱۲]: «تلاش‌های موفقیت‌آمیز برای بهره‌برداری، درهای پشتی مختلفی را که توسط گروه RomCom استفاده می‌شد، به‌ویژه یک نوع SnipBot، RustyClaw و Mythic agent، ارائه داد. این کمپین، شرکت‌های مالی، تولیدی، دفاعی و لجستیکی را در اروپا و کانادا هدف قرار داد.»

این حملات از آرشیوهای مخربی استفاده می‌کنند که حاوی یک جریان داده بی‌خطر اما چندین جریان داده جایگزین ([۱۳]ADSes) هستند که برای پیمایش مسیر مورداستفاده قرار می‌گیرند. این پیام‌ها از فریب‌هایی با تم رزومه برای فریب گیرندگان جهت باز کردن پیوست‌ها استفاده می‌کنند.

باز کردن آرشیو باعث اجرای یک DLL مخرب می‌شود، درحالی‌که یک فایل میانبر ویندوز (LNK) در دایرکتوری راه‌اندازی ویندوز تنظیم می‌شود تا هر بار که کاربر به سیستم وارد می‌شود، به پایداری برسد. این DLL مسئول رمزگشایی shellcode تعبیه شده است که سپس راه را برای عامل Mythic، یک نوع SnipBot (معروف به SingleCamper) و RustyClaw هموار می‌کند [۱۴].

RustyClaw یک payload دیگر، دانلودکننده دیگری به نام MeltingClaw (معروف به DAMASCENED PEACOCK) را دریافت و اجرا می‌کند که در گذشته برای رهاسازی backdoorهایی مانند ShadyHammock یا DustyHammock استفاده شده است.

این شرکت با استناد به داده‌های تله‌متری اعلام کرد که هیچ‌یک از اهداف مورد نفوذ قرار نگرفته‌اند، اما این پیشرفت نشان‌دهنده‌ی بلوغ مداوم RomCom به یک عامل تهدید پیچیده است که قادر به استفاده از آسیب‌پذیری‌های روز صفر در زرادخانه‌ی خود برای حملات هدفمند است.

ESET گفت: “با سوءاستفاده از یک آسیب‌پذیری روز صفر که قبلاً ناشناخته بود، گروه RomCom نشان داده است که مایل است تلاش و منابع جدی را در عملیات سایبری خود سرمایه‌گذاری کند. این کمپین کشف‌شده بخش‌هایی را هدف قرار داده است که با منافع معمول گروه‌های APT وابسته به روسیه همسو هستند و این نشان می‌دهد که انگیزه‌ی ژئوپلیتیکی پشت این عملیات وجود دارد.”

اشکال نوشتن فایل دلخواه در ۷-Zip

این افشاگری در حالی صورت می‌گیرد که ۷-Zip وصله‌هایی را برای یک نقص امنیتی (CVE-2025-55188، امتیاز ۲٫۷ در CVSS) ارائه کرده است که می‌تواند به دلیل نحوه مدیریت لینک‌های نمادین در طول استخراج، برای نوشتن فایل دلخواه مورد بهره‌برداری قرار گیرد و منجر به اجرای کد شود. این مشکل در نسخه ۲۵٫۰۱ برطرف شده است[۱۵].

در یک سناریوی حمله احتمالی، یک عامل تهدید می‌تواند از این نقص برای دستیابی غیرمجاز یا اجرای کد با دست‌کاری فایل‌های حساس، مانند رونویسی کلیدهای SSH کاربر یا فایل .bashrc، استفاده کند.

این حمله عمدتاً سیستم‌های یونیکس را هدف قرار می‌دهد، اما می‌تواند با پیش‌نیازهای اضافی برای ویندوز نیز سازگار شود. محقق امنیتی “lunbun” گفت[۱۶]: “در ویندوز، فرآیند استخراج ۷-Zip باید قابلیت ایجاد لینک‌های نمادین را داشته باشد (مثلاً استخراج با امتیازات مدیر، ویندوز در حالت توسعه‌دهنده و غیره).

منابع

[۱] https://nvd.nist.gov/vuln/detail/CVE-2025-8088

[۲] https://www.win-rar.com/singlenewsview.html?&L=0&tx_ttnews%5Btt_news%5D=283&cHash=a64b4a8f662d3639dec8d65f47bc93c5

[۳] https://thehackernews.com/2023/10/google-tag-detects-state-backed-threat.html

[۴] https://thehackernews.com/2023/12/uac-0099-using-winrar-exploit-to-target.html

[۵] https://thehackernews.com/2024/05/flyingyeti-exploits-winrar.html

[۶] https://thehackernews.com/2025/04/paper-werewolf-deploys-powermodul.html

[۷] https://www.obrela.com/advisory/winrar-0-day-remote-code-execution-rce-exploit-for-sale

[۸] https://www.win-rar.com/singlenewsview.html?&L=0&tx_ttnews%5Btt_news%5D=278&cHash=7a94264c6c27255629324ca28264f28e

[۹] https://bi.zone/expertise/blog/paper-werewolf-atakuet-rossiyu-s-ispolzovaniem-uyazvimosti-nulevogo-dnya-v-winrar

[۱۰] https://apa.aut.ac.ir/?p=9857

[۱۱] https://apa.aut.ac.ir/?p=10811