یک آسیبپذیری روز صفر جدید از نوع Directory Traversal با شناسه CVE-2025-8088 و امتیاز 8.4 در نرمافزار WinRAR شناسایی شده که به طور فعال در حملات فیشینگ مورد سوءاستفاده قرار گرفته است.
آسیبپذیری CVE-2025-8088، یکی از مهمترین تهدیدات امنیتی سال ۲۰۲۵ به شمار میرود که به ویژه در حملات فیشینگ توسط گروههای هکری مرتبط با روسیه مورد اکسپلویت قرار گرفته است و به نفوذگران اجازه میدهد تا با دستکاری مسیرهای فایل در هنگام استخراج آرشیوها، کد دلخواه خود را اجرا کنند. در ادامه بهصورت ساده، به شرح جزئیات فنی این آسیبپذیری، نحوه اکسپلویت آن، گروههای هکری مرتبط و اقدامات پیشگیرانه خواهیم پرداخت.
معرفی آسیبپذیری
نقص امنیتی مذکور نسخه ویندوز این ابزار را تحت تأثیر قرار میدهد و امکان استخراج فایلهایی را در مسیرهای دلخواه سیستم قربانی با ساخت فایلهای فشرده مخرب فراهم میکند. با استفاده از این آسیبپذیری، نفوذگران میتوانند اقدام به ایجاد آرشیوهایی کنند که فایلهای اجرایی را در مسیرهای autorun استخراج میکنند. مانند پوشه Windows Startup واقع در:
APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (Local to user)%
ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup (Machine-wide)%
همزمان با ورود بعدی کاربر به سیستم، فایل اجرایی به طور خودکار اجرا میشود و به نفوذگر اجازه میدهد تا از راه دور کد را اجرا کند.
نحوه اکسپلویت از آسیبپذیری
نفوذگران با ارسال ایمیلهای فیشینگ حاوی آرشیوهای مخرب، کاربران را فریب میدهند تا فایلهای آلوده را استخراج کنند. در این آرشیوها، مسیرهای فایل بهگونهای تنظیم شدهاند که هنگام استخراج، فایلهای اجرایی در مسیرهای حساس سیستم – مانند پوشه Windows Startup – قرار گیرند که به طور بالقوه منجر به اجرای ناخواسته کد در ورود بعدی به سیستم میشود. این فایلها میتوانند شامل بدافزارهایی مانند دربپشتی RomCom باشند که پس از اجرا، اطلاعات سیستم را به سرورهای کنترل مهاجم ارسال میکنند و یا بدافزارهای دیگری را دانلود میکنند. برای بهرهبرداری از این آسیبپذیری، تعامل کاربر لازم است که میتواند باعث شود فایلها خارج از دایرکتوری مورد نظر نوشته شوند. چنانچه ذکر شد این نقص میتواند به منظور قرار دادن فایلها در مکانهای حساس مورد سوءاستفاده قرار گیرد.
گروههای هکری مرتبط
محققان ESET، ایمیلهای فیشینگ هدفمند با پیوستهای حاوی فایلهای RAR مشاهده کردهاند که این آرشیوها از CVE-2025-8088 برای ارائه دربپشتیهای RomCom سوءاستفاده میکنند. گروه هکری روسی موسوم به RomCom (معروف به Storm-0978، Tropical Scorpius یا UNC2596) با حملات باجافزاری و اخاذی سرقت داده، همراه با کمپینهایی که بر سرقت اعتبارنامهها متمرکز هستند، مرتبط است. RomCom پیشتر با عملیاتهای باجافزاری متعددی از جمله Cuba و Industrial Spy مرتبط بوده است.
افزون بر این، شرکت روسی BI.ZONE نیز در گزارشی اعلام کرد: در حملات فیشینگ گروه هکری Paper Werewolf (معروف به GOFFEE) از این نقص امنیتی در کنار آسیبپذیری Directory Traversal در نسخه ویندوز WinRAR با شناسه CVE-2025-6218 و امتیاز 7.8 (وصله شده در ژوئن 2025)، سوءاستفاده شده است. حملات اخیر این گروه جهت نفوذ به سیستمهای سازمانهای روسی و به منظور نوشتن فایلها در خارج از دایرکتوری هدف و دستیابی به اجرای کد فعال صورت گرفته است.
اقدامات پیشگیرانه
جهت محافظت از سیستم خود در برابر این آسیبپذیری، اقدامات زیر توصیه میشود:
✔️ بهروزرسانی WinRAR: توسعهدهندگان ابزار بایگانی فایل WinRAR، این نقص امنیتی را با انتشار نسخه WinRAR 7.13 برطرف کردهاند. از آنجا که WinRAR دارای ویژگی بهروزرسانی خودکار نیست، اکیداً توصیه میشود که کاربران آخرین نسخه را به صورت دستی از وبسایت رسمی win-rar.com دانلود و نصب کنند تا از این آسیبپذیری در امان باشند.
✔️ استفاده از نرمافزارهای امنیتی: آنتیویروس پادویش را نصب کرده و فایل پایگاه داده آن را بهروز نگه دارید و از آن برای اسکن فایلهای دریافتی استفاده کنید.
✔️ پیکربندی صحیح سیستم: اطمینان حاصل کنید که مسیرهای پیشفرض استخراج فایلها تغییر نکرده و بهطور صحیح پیکربندی شدهاند.
✔️ آگاهی از ایمیلهای فیشینگ: از باز کردن پیوستهای ایمیلهای ناشناس یا مشکوک خودداری کنید.
📌 گفتنی است که نسخههای یونیکس RAR، UnRAR، کد منبع UnRAR قابل حمل و کتابخانه UnRAR، همچنین RAR اندروید تحت تأثیر قرار نمیگیرند.
نتیجهگیری
آسیبپذیری CVE-2025-8088 بیانگر اهمیت بهروزرسانی منظم نرمافزارها و آگاهی از تهدیدات امنیتی است. با رعایت اقدامات پیشگیرانه و بهروزرسانی به نسخههای جدید نرمافزارها، میتوان از نفوذ بدافزارها و سرقت اطلاعات جلوگیری کرد.
