L’agenzia statunitense per la sicurezza informatica (CISA) ha pubblicato un avviso urgente riguardante una vulnerabilità critica scovata all’interno di uno dei software più diffusi al mondo, WinRAR. Secondo il report dell’agenzia, la falla catalogata come CVE-2025-6218, è già stata sfruttata attivamente da diversi gruppi hacker, sollevando timori crescenti sulla sicurezza degli utenti che non hanno ancora aggiornato il programma.
Dettagli sulla vulnerabilità
Da quello che sappiamo la vulnerabilità riguarda esclusivamente le versioni Windows di WinRAR ed è stata classificata come “a rischio elevato”. La falla permette attacchi di tipo path traversal, una tecnica con cui archivi RAR manipolati o pagine web appositamente costruite possono indurre il salvataggio di file malevoli in percorsi sensibili del sistema.
Nel peggiore degli scenari, un aggressore potrebbe collocare file nella cartella di avvio di Windows, consentendo l’esecuzione automatica di codice non autorizzato. Il risultato è la compromissione del sistema nel contesto dell’utente collegato, senza che questi ne abbia consapevolezza.
Aggiornamento di sicurezza
Gli sviluppatori di Rarlab hanno corretto il problema con il rilascio di WinRAR 7.12, pubblicato nel giugno 2025. Tuttavia, una larga quota di utenti non ha ancora installato l’aggiornamento, mantenendo esposto un numero significativo di sistemi.
Stando alle informazioni condivise, la vulnerabilità CVE-2025-6218 è stata integrata in articolate catene di attacco condotte da diversi attori noti nel panorama delle minacce, come il gruppo GOFFEE (Paper Werewolf), l’APT Bitter e il collettivo hacker russo Gamaredon. Queste organizzazioni criminali, hanno sfruttato la falla all’interno di campagne di phishing mirato condotte nell’estate del 2025.
Utilizzo della falla per attacchi mirati
Altro utilizzo documentato riguarda l’invio di un documento Word apparentemente legittimo accompagnato da un modello di macro alterato, che viene copiato in modo furtivo nella cartella globale dei modelli di Word. A ogni avvio del programma, la macro malevola si attiva automaticamente, offrendo un punto d’ingresso stabile a un trojan progettato per sottrarre dati e comunicare con server di comando e controllo remoti.
Implicazioni militari
La vulnerabilità CVE-2025-6218 è davvero molto pericolosa ma il quadro diventa ancora più allarmante con il coinvolgimento del gruppo hacker russo Gamaredon, già noto per operazioni di spionaggio in ambito militare. Questi criminali, infatti, hanno sfruttato la falla per diffondere il malware Pteranodon all’interno di agenzie governative e strutture militari ucraine, nell’ambito di una campagna coordinata.
Oltre a questo, è stato individuato anche un nuovo componente distruttivo nella loro infrastruttura malware: GamaWiper, un wiper progettato per cancellare dati e rendere inutilizzabili i sistemi colpiti.
Vista la pericolosità di questa vulnerabilità, gli esperti di sicurezza informatica consigliano a tutti di aggiornare immediatamente WinRAR alla versione più recente.
