11 de diciembre de 2025

CVE-2025-6218: la nueva vulnerabilidad crítica de WinRAR ya está siendo explotada por grupos criminales y APTs

CVE-2025-6218: la nueva vulnerabilidad crítica de WinRAR ya está siendo explotada por grupos criminales y APTs

La vulnerabilidad crítica CVE-2025-6218, recientemente identificada en WinRAR, está siendo explotada de forma activa por diversos actores de amenazas, desde grupos de cibercrimen hasta al menos una APT con fines de espionaje. El fallo permite ejecución remota de código (RCE) simplemente con que la víctima abra o extraiga un archivo comprimido manipulado, sin necesidad de ejecutar binarios adicionales.

¿Qué es CVE-2025-6218?

Se trata de una vulnerabilidad de directory traversal en RARLAB WinRAR que permite a un atacante escribir archivos fuera del directorio de extracción previsto.
El software no valida correctamente rutas como ..\ ni otras secuencias relativas dentro de archivos .rar, lo que abre la puerta a sobrescribir o colocar archivos directamente en directorios sensibles del sistema.

El fallo afecta a WinRAR para Windows, así como a componentes relacionados como UnRAR y UnRAR.dll, y posee una puntuación CVSS alta debido a su impacto en integridad, confidencialidad y facilidad de explotación.

Cómo se está explotando la vulnerabilidad

Los atacantes están distribuyendo archivos comprimidos maliciosos disfrazados de documentos, instaladores o actualizaciones mediante:

  • Correos de phishing

  • Mensajería instantánea

  • Sitios web comprometidos

Al extraer el archivo, el payload manipulado fuerza la escritura de scripts o ejecutables en directorios como:

  • Inicio (Startup)

  • Carpetas del usuario

  • Directorios del sistema

Esto permite obtener ejecución de código con los permisos del usuario comprometido, lo que facilita el despliegue de ransomware, spyware, loaders o puertas traseras sin levantar sospechas.

Grupos de amenazas involucrados

Investigaciones recientes confirman que múltiples actores ya integraron este exploit en sus campañas. Destaca el uso por parte de la APT APT-C-08 (BITTER), que emplea exploits públicos de CVE-2025-6218 en operaciones de espionaje dirigidas a organizaciones vulnerables.

Su éxito operativo se explica por dos factores:

  • Baja complejidad técnica del exploit

  • Gran base instalada de WinRAR en entornos corporativos, gubernamentales y educativos

La combinación convierte esta vulnerabilidad en un vector altamente atractivo para ataques dirigidos y automatizados.

Impacto para usuarios y organizaciones

Un equipo comprometido mediante esta falla puede derivar en:

  • Robo de credenciales y cookies de sesión

  • Movimiento lateral en redes corporativas

  • Exfiltración de documentos sensibles

  • Acceso a repositorios de código y servidores internos

Basta con que un usuario extraiga un archivo malicioso para que el atacante obtenga un punto de entrada al dominio, comprometiendo servicios críticos y flujos de trabajo basados en archivos comprimidos.

Versiones vulnerables y estado del parche

Según fuentes oficiales, todas las versiones de WinRAR para Windows hasta la 7.11 se consideran vulnerables a CVE-2025-6218.
RARLAB ya publicó actualizaciones que corrigen el manejo de rutas internas y bloquean la explotación del recorrido de directorios.

Autoridades y organismos de ciberseguridad recomiendan actualizar inmediatamente y evitar el uso de versiones desactualizadas en estaciones críticas.

Recomendaciones para equipos de TI y defensores

1. Actualización urgente

Aplicar la versión corregida de WinRAR en todos los endpoints, priorizando aquellos con acceso privilegiado o manejo de datos sensibles.

2. Reglas de detección

Configurar EDR, gateways de correo y SIEM para identificar:

  • Archivos comprimidos con rutas relativas sospechosas

  • Indicadores de explotación asociados a CVE-2025-6218

  • Intentos de escritura fuera del directorio de extracción

3. Restricción de herramientas no gestionadas

Limitar el uso de compresores de terceros no autorizados en estaciones corporativas.

4. Refuerzo de capacitación

Reforzar campañas antifraude y de phishing para reducir la apertura de archivos comprimidos no solicitados.

Conclusión

La explotación activa de CVE-2025-6218 confirma que la cadena de suministro de archivos comprimidos sigue siendo un vector subestimado, pero altamente efectivo para actores estatales y criminales. La combinación de parches oportunos, detección avanzada y políticas de uso seguro de archivos será clave para contener la ola de ataques que ya está aprovechando esta vulnerabilidad.

Fuente: https://gbhackers.com/winrar-vulnerability-exploited/
Siguiente → Microsoft cierra el año con 56 parches d...
Escrito por:
Luis Carreón
📰 Otras noticias del día
Microsoft cierra el año con 56 parches de seguridad: un exploit activo y dos día cero elevan la urgencia para administradores de TI
Fortinet, Ivanti y SAP lanzan parches de emergencia ante vulnerabilidades críticas que permiten bypass de autenticación y ejecución remota de código
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al inicio