أعلنت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) عن إضافة ثغرة أمنية حرجة تؤثر على WinRAR، أداة ضغط الملفات الشهيرة، إلى قائمتها المحدثة للثغرات الأمنية المعروفة والمستغلة. تأتي هذه الخطوة بعد اكتشاف دلائل قوية على استغلال هذه الثغرة بالفعل من قبل جهات خبيثة.
وثغرة WinRAR، التي تحمل المعرف CVE-2025-6218، مصنفة بدرجة خطورة 7.8 على مقياس CVSS، وهي ثغرة من نوع “تجاوز المسار” (Path Traversal). يمكن استغلال هذه الثغرة لتنفيذ تعليمات برمجية خبيثة على أنظمة المستخدمين، ولكنها تتطلب تفاعلًا من الضحية، مثل زيارة صفحة ويب مشبوهة أو فتح ملف خبيث، لنجاح الهجوم.
ثغرة WinRAR الأمنية وتأثيرها
تسمح ثغرة WinRAR بمنح المهاجم القدرة على وضع ملفات في مواقع حساسة على نظام التشغيل، ومنها مجلد بدء التشغيل الخاص بنظام ويندوز.
هذا الأمر قد يؤدي إلى تنفيذ تعليمات برمجية غير مرغوب فيها عند تسجيل دخول المستخدم التالي للنظام. وقد أصدرت RARLAB، الشركة المطورة لـ WinRAR، تحديثاً لمعالجة هذه الثغرة في الإصدار 7.12 من البرنامج في شهر يونيو 2025، ويقتصر تأثير الثغرة على إصدارات ويندوز فقط، بينما لا تتأثر الإصدارات المخصصة لأنظمة أخرى مثل يونكس وأندرويد.
استغلال الثغرة من قبل جهات مختلفة
يشير التقرير إلى أن هذه الثغرة تم استغلالها بالفعل من قبل جهات تهديد متعددة. فبحسب تقارير متزايدة من شركات أمن سيبراني رائدة، استخدم كل من مجموعات التهديد GOFFEE (المعروفة أيضاً باسم Paper Werewolf)، وBitter (المعروفة أيضاً باسم APT-C-08 أو Manlinghua)، وGamaredon هذه الثغرة في هجماتهم.
وأفادت بعض التحليلات أن مجموعة GOFFEE قد تكون استخدمت ثغرة CVE-2025-6218 بالإضافة إلى ثغرة أخرى مشابهة (CVE-2025-8088) في هجمات استهدفت منظمات في روسيا عبر رسائل التصيد خلال شهر يوليو 2025.
من جهة أخرى، استغلت مجموعة Bitter APT، التي تركز على مناطق في جنوب آسيا، الثغرة لتسهيل الاستمرار على الأنظمة المخترقة، وإسقاط برامج فدية خبيثة من نوع C#. يتم ذلك عبر مجلدات ضغط بصيغة RAR تحتوي على مستندات Word و قوالب ماكرو خبيثة.
تقوم هذه القوالب الخبيثة بإضافة ملف Normal.dotm إلى مجلد قوالب Word العالمي، مما يضمن تنفيذ الشفرة الخبيثة تلقائياً في كل مرة يتم فيها فتح المستند. وهذا يوفر باب خلفي مستمر يتجاوز آليات الحماية القياسية.
بينما استغلت مجموعة Gamaredon الروسية، بهجمات تصيد استهدفت كيانات عسكرية وحكومية وسياسية في أوكرانيا، ثغرة WinRAR الأمنية لإصابة هذه الكيانات ببرمجية خبيثة تعرف باسم Pteranodon. وتم رصد هذه الأنشطة لأول مرة في شهر نوفمبر 2025.
يُذكر أن مجموعة Gamaredon قد استغلت أيضًا ثغرة CVE-2025-8088 بشكل مكثف، واستخدمتها لتوصيل برمجيات Visual Basic Script خبيثة، بل ونشرت برمجية مسح بيانات جديدة. هذا يشير إلى تحول في طبيعة عمليات المجموعة، من التجسس التقليدي إلى عمليات تتضمن التدمير.
وتلزم هذه المستجدات الهيئات الحكومية الفيدرالية في الولايات المتحدة باتخاذ الإجراءات اللازمة لتطبيق التحديثات الأمنية المطلوبة بحلول 30 ديسمبر 2025، وذلك لضمان تأمين شبكاتها ضد هذه التهديدات المتزايدة.