Geniş kullanıcı kitlesine sahip olan popüler arşivleme yazılımı WinRAR, ciddi bir güvenlik zafiyetiyle yeniden gündemde. Güvenlik araştırmacılarına göre bu açık, saldırganların hedef sistemlerde keyfi kod çalıştırmasına imkan tanıyor ve halihazırda farklı hacker grupları tarafından aktif biçimde istismar ediliyor.
path traversal açığıyla gelen sessiz tehdit
CVE-2025-8088 koduyla takip edilen güvenlik açığı, WinRAR’ın 7.12 ve daha eski sürümlerini etkiliyor. 10 üzerinden 8.4 gibi yüksek bir risk puanına sahip olan bu açık, “path traversal” olarak tanımlanan bir yöntemle çalışıyor. Saldırganlar, özel olarak hazırlanmış zararlı arşiv dosyaları sayesinde sistemde olmaması gereken dizinlere dosya yazabiliyor ve bu sayede kötü amaçlı yazılımları devreye sokabiliyor.
devlet destekli gruplar da devrede
BleepingComputer’ın aktardığı bilgilere göre açık, yalnızca bireysel siber suçluların değil, devlet destekli grupların da ilgisini çekmiş durumda. Rusya bağlantılı RomCom grubunun, bu zafiyeti kullanarak Ukrayna askeri birimlerine karşı NESTPACKER adlı zararlı yazılımı dağıttığı belirtiliyor. Benzer şekilde APT44, Turla ve bazı Çinli grupların da farklı kötü amaçlı yazılımlar için aynı yöntemi kullandığı ifade ediliyor.
zararlı dosya gizlice sisteme yerleşiyor
Saldırı senaryolarında WinRAR’ın Alternate Data Streams (ADS) özelliği öne çıkıyor. Kullanıcı arşiv içindeki zararsız gibi görünen bir PDF dosyasını açtığında, arka planda gizlenmiş zararlı içerik farklı bir dizine yazılıyor. Bu yöntem, kullanıcı herhangi bir uyarı almadan sistemin ele geçirilmesine yol açabiliyor. Bazı ADS kayıtlarının yalnızca dikkat dağıtmak amacıyla boş veri içerdiği de raporlandı.
maddi kazanç peşindeki gruplar da kullanıyor
Tehdit yalnızca devlet destekli aktörlerle sınırlı değil. Finansal kazanç hedefleyen siber suçluların da bu açığı kullanarak XWorm ve AsyncRAT gibi bilgi hırsızı yazılımları yaydığı bildiriliyor. Bu durum, bireysel kullanıcılar kadar kurumlar için de riskin boyutunu artırıyor.
çözüm basit ama ertelenmemeli
Uzmanlar, WinRAR kullanıcılarının vakit kaybetmeden 7.13 veya daha yeni bir sürüme geçmesini öneriyor. Yazılım otomatik güncelleme sunmasa da, yeni sürüm mevcut kurulumun üzerine doğrudan yüklenebiliyor. Güncelleme yapılmadığı sürece eski sürümler, saldırganlar için açık bir kapı olmaya devam ediyor.
