Son dönemde Google’ın Tehdit Analiz Grubu (TAG), WinRAR’da bulunan ve CVE-2023-38831 olarak bilinen kritik bir güvenlik açığının birden fazla devlet destekli saldırı grubu (APT) tarafından istismar edildiğini tespit etti. Cybercrime grupları, bu açığı, savunma mekanizmaları tarafından henüz fark edilmediği 2023’ün başlarında istismar etmeye başladılar. Güncelleme mevcut olsa da birçok kullanıcının hala savunmasız olduğu görülüyor. TAG, birçok ülkeden APT gruplarının WinRAR açığını operasyonlarının bir parçası olarak istismar ettiğini gözlemledi.
Ağustos 2023’te RARLabs, bir dizi güvenlikle ilgili hatayı düzelten güncellenmiş bir WinRAR sürümünü piyasaya sürdü. Bu hatalardan biri, sonradan CVE-2023-38831 olarak adlandırılan, WinRAR içinde oluşturulan hazırlanmış arşivleri işlerken gereksiz geçici dosya genişlemesine neden olan bir mantıksal bir zafiyettir. Bu zafiyet, bir kullanıcı, ZIP arşivi içinde sıradan bir PNG dosyası gibi zararsız bir dosyayı görüntülemeye çalıştığında saldırganların keyfi kod yürütmesine izin verir.
Group-IB’den yapılan bir blog gönderisinde ayrıntılı olarak açıklandığı gibi, bu zafiyet, en az Nisan 2023’ten bu yana finansal işlemcileri hedefleyen çeşitli kötü amaçlı yazılım ailelerini dağıtmak için kullanılan zero-day (0. gün) olarak gerçek dünyada siber suç aktörleri tarafından istismar edilmekteydi. Blog gönderisi yayınlandıktan saatler sonra, kanıt paylaşımı ve istismar üreteçleri kamuya açık GitHub depolarına yüklendi. Kısa bir süre sonra TAG, CVE-2023-38831’i deneyen hem finansal nedenlerle hareket eden hem de APT aktörlerinden test etkinliği gözlemlemeye başladı.
Bu güvenlik açığının farkında olan kullanıcıların WinRAR’ın en son sürümünü yüklemeleri ve yazılımlarını güncel tutmaları önemlidir. Aksi takdirde, kötü amaçlı yazılımların yayılmasına olanak tanıyan ZIP dosyaları kullanıcıları ve organizasyonları ciddi tehlikelere karşı savunmasız hale getirebilir.
Referanslar:
