MS-DOS 시절부터 개발되어 사용되고 있는 압축 프로그램인 WinRAR 7.13 버전에서 수정이 된 CVE-2025-8088 취약점으로 RomCom 맬웨어를 설치하기 위한 피싱 공격의 제로데이로 악용이 되고 있다는 소식입니다.\
해당 취약점은 WinRAR 7.13에서 수정된 디렉터리 트래버설 취약점으로, 특수하게 조작된 압축 파일을 공격자가 선택한 파일 경로에 추출할 수 있는 취약점입니다.\
해당 변경 로그에 보면 다음과 같은 내용이 포함된 것을 확인할 수가 있습니다.\
Another directory traversal vulnerability, differing from that\
in WinRAR 7.12, has been fixed.\
When extracting a file, previous versions of WinRAR, Windows versions\
of RAR, UnRAR, portable UnRAR source code and UnRAR.dll can be tricked\
into using a path, defined in a specially crafted archive,\
instead of user specified path.\
Unix versions of RAR, UnRAR, portable UnRAR source code\
and UnRAR library, also as RAR for Android, are not affected.\
We are thankful to Anton Cherepanov, Peter Kosinar, and Peter Strycek\
from ESET for letting us know about this security issue.
WinRAR 7.13
파일을 추출할 때 WinRAR의 이전 버전, RAR의 Windows 버전, UnRAR, 이식 가능한 UnRAR 소스 코드 및 UnRAR.dll은 사용자가 지정한 경로 대신 특수하게 조작된 아카이브에 정의된 경로를 사용하도록 속일 수 있는 문제입니다.\
RAR, UnRAR의 Unix 버전\
UnRAR 소스 코드 및 UnRAR 라이브러리\
안드로이드 버전에서는 해당 부분은 영향을 받지 않습니다.
[소프트웨어 팁/보안 및 분석] – WinRAR CVE-2025-6218 디렉토리 트렉버설 취약점 해결
공격자는 이 취약점을 이용하여 실행 파일을 자동 실행 경로(예:Windows 시작 폴더)에 추출하는 아카이브를 만들 수 있습니다.
#### 취약점 악용 예시
“`
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp
“`
사용자가 로그인하면 실행 파일이 자동으로 실행되어 공격자가 원격에서 코드를 실행할 수 있는 문제입니다.\
해결 방법은 수동으로 최신 버전으로 업데이트 하는 것이 최선입니다.\
제로데이 악용\
ESET의 Anton Cherepanov, Peter Košinár, Peter Strýček이 발견\
Strýček은 해당 취약점은 악성 소프트웨어를 설치하는 피싱 공격에 적극적으로 악용되고 있다고 밝힘\
CVE-2025-8088을 악용하여 RomCom 백도어를 유포를 했으며 RomCom은 러시아와 연계된 조직이며 랜섬웨어와 데이터 도난 협박 공격과 관련된 러시아 해킹 그룹이며, 자격 증명을 훔치는 데 중점을 둔 캠페인도 하는 단체입니다.\
RomCom은 이전에 Cuba와 Industrial Spy를 포함한 수많은 랜섬웨어 작전에 연루된 적이 있음\
결론: 해당 Wirer를 사용하면 갱신을 통해서 취약점을 제거하시면 됩니다.
해당 취약점은 WinRAR 7.13에서 수정된 디렉터리 트래버설 취약점으로, 특수하게 조작된 압축 파일을 공격자가 선택한 파일 경로에 추출할 수 있는 취약점입니다.
Unix versions of RAR, UnRAR, portable UnRAR source codeand UnRAR library, also as RAR for Android, are not affected.
RAR, UnRAR의 Unix 버전UnRAR 소스 코드 및 UnRAR 라이브러리안드로이드 버전에서는 해당 부분은 영향을 받지 않습니다.
[소프트웨어 팁/보안 및 분석] – WinRAR CVE-2025-6218 디렉토리 트렉버설 취약점 해결공격자는 이 취약점을 이용하여 실행 파일을 자동 실행 경로(예:Windows 시작 폴더)에 추출하는 아카이브를 만들 수 있습니다.
취약점 악용 예시%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp사용자가 로그인하면 실행 파일이 자동으로 실행되어 공격자가 원격에서 코드를 실행할 수 있는 문제입니다.
MS-DOS 시절부터 개발되어 사용되고 있는 압축 프로그램인 WinRAR 7.13 버전에서 수정이 된 CVE-2025-8088 취약점으로 RomCom 맬웨어를 설치하기 위한 피싱 공격의 제로데이로 악용이 되고 있다는 소식입니다.
해당 취약점은 WinRAR 7.13에서 수정된 디렉터리 트래버설 취약점으로, 특수하게 조작된 압축 파일을 공격자가 선택한 파일 경로에 추출할 수 있는 취약점입니다.
해당 변경 로그에 보면 다음과 같은 내용이 포함된 것을 확인할 수가 있습니다.
Another directory traversal vulnerability, differing from that
in WinRAR 7.12, has been fixed.
When extracting a file, previous versions of WinRAR, Windows versions
of RAR, UnRAR, portable UnRAR source code and UnRAR.dll can be tricked
into using a path, defined in a specially crafted archive,
instead of user specified path.
Unix versions of RAR, UnRAR, portable UnRAR source code
and UnRAR library, also as RAR for Android, are not affected.
We are thankful to Anton Cherepanov, Peter Kosinar, and Peter Strycek
from ESET for letting us know about this security issue.
WinRAR 7.13
파일을 추출할 때 WinRAR의 이전 버전, RAR의 Windows 버전, UnRAR, 이식 가능한 UnRAR 소스 코드 및 UnRAR.dll은 사용자가 지정한 경로 대신 특수하게 조작된 아카이브에 정의된 경로를 사용하도록 속일 수 있는 문제입니다.
RAR, UnRAR의 Unix 버전
UnRAR 소스 코드 및 UnRAR 라이브러리
안드로이드 버전에서는 해당 부분은 영향을 받지 않습니다.
[소프트웨어 팁/보안 및 분석] – WinRAR CVE-2025-6218 디렉토리 트렉버설 취약점 해결
공격자는 이 취약점을 이용하여 실행 파일을 자동 실행 경로(예:Windows 시작 폴더)에 추출하는 아카이브를 만들 수 있습니다.
취약점 악용 예시
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp사용자가 로그인하면 실행 파일이 자동으로 실행되어 공격자가 원격에서 코드를 실행할 수 있는 문제입니다.
해결 방법은 수동으로 최신 버전으로 업데이트 하는 것이 최선입니다.
제로데이 악용
ESET의 Anton Cherepanov, Peter Košinár, Peter Strýček이 발견
Strýček은 해당 취약점은 악성 소프트웨어를 설치하는 피싱 공격에 적극적으로 악용되고 있다고 밝힘
CVE-2025-8088을 악용하여 RomCom 백도어를 유포를 했으며 RomCom은 러시아와 연계된 조직이며 랜섬웨어와 데이터 도난 협박 공격과 관련된 러시아 해킹 그룹이며, 자격 증명을 훔치는 데 중점을 둔 캠페인도 하는 단체입니다.
RomCom은 이전에 Cuba와 Industrial Spy를 포함한 수많은 랜섬웨어 작전에 연루된 적이 있음
결론: 해당 Wirer를 사용하면 갱신을 통해서 취약점을 제거하시면 됩니다.
