Νέα Ευπάθεια Zip Slip: Εκμετάλλευση Κατά την Αποσυμπίεση Αρχείων
SecNews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Νέα Ευπάθεια Zip Slip: Εκμετάλλευση Κατά την Αποσυμπίεση Αρχείων
https://www.secnews.gr/657361/nea-evpatheia-zip-slip-aposimpiesi/
Aug 27th 2025, 18:07
by Digital Fortress
Μια νέα παραλλαγή της ευπάθειας Zip Slip έχει εμφανιστεί, επιτρέποντας σε κακόβουλους χρήστες να εκμεταλλεύονται path traversal flaws σε ευρέως χρησιμοποιούμενα εργαλεία decompression. Οι επιθέσεις, που αξιοποιούν αυτή την ευπάθεια, δημιουργούν κακόβουλα archives που περιέχουν ειδικά κατασκευασμένα file names με σχετικά paths. Όταν ένας ανυποψίαστος χρήστης ή ένα αυτοματοποιημένο σύστημα εξάγει αυτά τα archives, τα αρχεία γράφονται εκτός του προβλεπόμενου extraction directory, αντικαθιστώντας ενδεχομένως κρίσιμα system ή application binaries.
Οι πρώτες αναφορές δείχνουν ότι οι επιτιθέμενοι χρησιμοποιούν αυτήν την τεχνική για να εγκαταστήσουν backdoors και να αυξήσουν τα προνόμια σε συστήματα Windows και Unix. Σε αντίθεση με τα παραδοσιακά archives που περιορίζουν τα file locations σε έναν υποφάκελο, τα κακόβουλα αρχεία ZIP περιέχουν εγγραφές που, κατά το decompression (αποσυμπίεση), παρακάμπτουν το ανεπαρκές path sanitization και εναποθέτουν payloads απευθείας σε καταλόγους συστήματος.
Zip Slip: Κατάχρηση ευπάθειας για επιθέσεις
Αρχικά, η τεχνική είχε χρησιμοποιηθεί σε εσωτερικά penetration tests. Ωστόσο, εντοπίστηκαν και καμπάνιες που αποδίδονται στην APT ομάδα RomCom και έχουν δείξει εκμετάλλευση σε πραγματικές συνθήκες, σε επιχειρηματικά περιβάλλοντα.
Οι αναλυτές της ASEC εντόπισαν ότι η παραλλαγή εκμεταλλεύεται το general purpose bit flag στο ZIP header, για να κωδικοποιήσει path separators που αποφεύγουν την ανίχνευση από signature-based scanners.
Δείτε επίσης: Κρίσιμη Ευπάθεια Chrome – Use After Free: Διορθώστε άμεσα!
Σε μία περίπτωση, ένα μολυσμένο συνημμένο email παρέδωσε ένα ZIP archive που, όταν ανοίχθηκε με ένα παρωχημένο εργαλείο αποσυμπίεσης, αντικατέστησε σιωπηλά ένα νόμιμο startup script. Η εξέταση της δομής του αρχείου αποκάλυψε ότι το πεδίο ονόματος αρχείου, που ξεκινά από το offset 0x1E, περιέχει path segments που διαχωρίζονται από percent-encoded slashes, τα οποία αποκωδικοποιούνται μόνο κατά τη δημιουργία του αρχείου.
Το reverse engineering αποκάλυψε ότι το κακόβουλο αρχείο εκμεταλλεύτηκε το zipfile module της Python για να εισάγει σχετικά paths απευθείας στο πεδίο ονόματος αρχείου.
Τα κύρια τρωτά σημεία, που εκμεταλλεύεται αυτή η τεχνική, είναι:
• CVE-2025-8088 – Επηρεάζει το WinRAR πριν από την έκδοση 7.13 και επιτρέπει την παράκαμψη του path validation μέσω Alternate Data Stream traversal.
• CVE-2025-6218 – Ένα σφάλμα απομακρυσμένης εκτέλεσης κώδικα σε εκδόσεις WinRAR πριν από την 7.12 που παρακάμπτει τα σχετικά path filters όταν χρησιμοποιούνται κενά.
• CVE-2022-30333 – Στοχεύει το RARLAB Unrar πριν από την έκδοση 6.12 για να αντικαταστήσει τα authorized_keys SSH μέσω paths "../../example".
• CVE-2018-20250 – Αυτό καταχράται το ACE format extraction στο WinRAR πριν από την έκδοση 5.61 παρακάμπτοντας το UNACEV2.dll filtering logic.
Δείτε επίσης: Προσοχή! Νέα επίθεση Sni5Gect στοχεύει το δίκτυο 5G
Εκτός από την απλή αντικατάσταση αρχείων, αυτή η παραλλαγή της ευπάθειας Zip Slip υποστηρίζει την ενσωμάτωση εκτελέσιμων scripts και DLL που έχουν σχεδιαστεί για τη διατήρηση μόνιμης παρουσίας στα συστήματα.
Γράφοντας payloads σε startup folders ή systemd service directories, οι επιτιθέμενοι εξασφαλίζουν την εκτέλεση κατά την επανεκκίνηση. Η ανίχνευση είναι περίπλοκη, καθώς πολλά εργαλεία αποσυμπίεσης δεν κανονικοποιούν ούτε επικυρώνουν canonical paths πριν από τη γραφή.
Οι ομάδες κυβερνοασφάλειας καλούνται να χρησιμοποιούν βιβλιοθήκες αποσυμπίεσης με ενσωματωμένους ελέγχους path traversal, να επιβάλλουν εξαγωγή σε περιβάλλοντα sandbox και να ενημερώνουν τα εργαλεία σε εκδόσεις που έχουν κυκλοφορήσει μετά τον Αύγουστο του 2025.
Η νέα παραλλαγή του Zip Slip αναδεικνύει ξανά πόσο ευάλωτα παραμένουν ακόμη και τα πιο θεμελιώδη εργαλεία λογισμικού, όπως τα utilities αποσυμπίεσης. Το ζήτημα δεν περιορίζεται μόνο στη διάδοση ενός τεχνικά εξελιγμένου exploit, αλλά και στο γεγονός ότι χιλιάδες χρήστες και επιχειρήσεις στηρίζονται σε λογισμικά τα οποία συχνά δεν ενημερώνονται συστηματικά. Αυτή η αδράνεια δημιουργεί ένα ιδανικό περιβάλλον για την εκμετάλλευση παλιών ή παραμελημένων βιβλιοθηκών.
Δείτε επίσης: Cephalus Ransomware: Αξιοποιεί το RDP για Αρχική Πρόσβαση
Η επικινδυνότητα της παραλλαγής δεν έγκειται απλώς στην υποκλοπή ή αλλοίωση δεδομένων, αλλά στη δυνατότητα των επιτιθέμενων να αποκτούν διαρκή παρουσία σε κρίσιμα συστήματα. Όταν ένα payload τοποθετείται σε startup folders ή service directories, μετατρέπεται ουσιαστικά σε "μόνιμο κάτοικο" του λειτουργικού, διαφεύγοντας συχνά της προσοχής ακόμα και καλά ρυθμισμένων antivirus λύσεων. Αυτό δίνει στους δράστες όχι μόνο άμεσο έλεγχο, αλλά και μακροπρόθεσμη πρόσβαση, καθιστώντας δυσκολότερη την αποκατάσταση.
Η εμφάνιση αυτής της παραλλαγής επιβεβαιώνει ότι οι παραδοσιακές τεχνικές εκμετάλλευσης δεν εξαφανίζονται· απλώς εξελίσσονται. Το ζητούμενο για οργανισμούς και χρήστες είναι να υιοθετήσουν μια πιο "zero trust" νοοτροπία απέναντι σε κάθε αρχείο και διαδικασία, αντί να βασίζονται σε παραδοσιακά, πλέον ανεπαρκή, μοντέλα άμυνας.
© SecNews.gr - Νέα Ευπάθεια Zip Slip: Εκμετάλλευση Κατά την Αποσυμπίεση Αρχείων
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672
IT Security News, Gadgets, Tweaks for Geeks and More
Νέα Ευπάθεια Zip Slip: Εκμετάλλευση Κατά την Αποσυμπίεση Αρχείων
https://www.secnews.gr/657361/nea-evpatheia-zip-slip-aposimpiesi/
Aug 27th 2025, 18:07
by Digital Fortress
Μια νέα παραλλαγή της ευπάθειας Zip Slip έχει εμφανιστεί, επιτρέποντας σε κακόβουλους χρήστες να εκμεταλλεύονται path traversal flaws σε ευρέως χρησιμοποιούμενα εργαλεία decompression. Οι επιθέσεις, που αξιοποιούν αυτή την ευπάθεια, δημιουργούν κακόβουλα archives που περιέχουν ειδικά κατασκευασμένα file names με σχετικά paths. Όταν ένας ανυποψίαστος χρήστης ή ένα αυτοματοποιημένο σύστημα εξάγει αυτά τα archives, τα αρχεία γράφονται εκτός του προβλεπόμενου extraction directory, αντικαθιστώντας ενδεχομένως κρίσιμα system ή application binaries.
Οι πρώτες αναφορές δείχνουν ότι οι επιτιθέμενοι χρησιμοποιούν αυτήν την τεχνική για να εγκαταστήσουν backdoors και να αυξήσουν τα προνόμια σε συστήματα Windows και Unix. Σε αντίθεση με τα παραδοσιακά archives που περιορίζουν τα file locations σε έναν υποφάκελο, τα κακόβουλα αρχεία ZIP περιέχουν εγγραφές που, κατά το decompression (αποσυμπίεση), παρακάμπτουν το ανεπαρκές path sanitization και εναποθέτουν payloads απευθείας σε καταλόγους συστήματος.
Zip Slip: Κατάχρηση ευπάθειας για επιθέσεις
Αρχικά, η τεχνική είχε χρησιμοποιηθεί σε εσωτερικά penetration tests. Ωστόσο, εντοπίστηκαν και καμπάνιες που αποδίδονται στην APT ομάδα RomCom και έχουν δείξει εκμετάλλευση σε πραγματικές συνθήκες, σε επιχειρηματικά περιβάλλοντα.
Οι αναλυτές της ASEC εντόπισαν ότι η παραλλαγή εκμεταλλεύεται το general purpose bit flag στο ZIP header, για να κωδικοποιήσει path separators που αποφεύγουν την ανίχνευση από signature-based scanners.
Δείτε επίσης: Κρίσιμη Ευπάθεια Chrome – Use After Free: Διορθώστε άμεσα!
Σε μία περίπτωση, ένα μολυσμένο συνημμένο email παρέδωσε ένα ZIP archive που, όταν ανοίχθηκε με ένα παρωχημένο εργαλείο αποσυμπίεσης, αντικατέστησε σιωπηλά ένα νόμιμο startup script. Η εξέταση της δομής του αρχείου αποκάλυψε ότι το πεδίο ονόματος αρχείου, που ξεκινά από το offset 0x1E, περιέχει path segments που διαχωρίζονται από percent-encoded slashes, τα οποία αποκωδικοποιούνται μόνο κατά τη δημιουργία του αρχείου.
Το reverse engineering αποκάλυψε ότι το κακόβουλο αρχείο εκμεταλλεύτηκε το zipfile module της Python για να εισάγει σχετικά paths απευθείας στο πεδίο ονόματος αρχείου.
Τα κύρια τρωτά σημεία, που εκμεταλλεύεται αυτή η τεχνική, είναι:
• CVE-2025-8088 – Επηρεάζει το WinRAR πριν από την έκδοση 7.13 και επιτρέπει την παράκαμψη του path validation μέσω Alternate Data Stream traversal.
• CVE-2025-6218 – Ένα σφάλμα απομακρυσμένης εκτέλεσης κώδικα σε εκδόσεις WinRAR πριν από την 7.12 που παρακάμπτει τα σχετικά path filters όταν χρησιμοποιούνται κενά.
• CVE-2022-30333 – Στοχεύει το RARLAB Unrar πριν από την έκδοση 6.12 για να αντικαταστήσει τα authorized_keys SSH μέσω paths "../../example".
• CVE-2018-20250 – Αυτό καταχράται το ACE format extraction στο WinRAR πριν από την έκδοση 5.61 παρακάμπτοντας το UNACEV2.dll filtering logic.
Δείτε επίσης: Προσοχή! Νέα επίθεση Sni5Gect στοχεύει το δίκτυο 5G
Εκτός από την απλή αντικατάσταση αρχείων, αυτή η παραλλαγή της ευπάθειας Zip Slip υποστηρίζει την ενσωμάτωση εκτελέσιμων scripts και DLL που έχουν σχεδιαστεί για τη διατήρηση μόνιμης παρουσίας στα συστήματα.
Γράφοντας payloads σε startup folders ή systemd service directories, οι επιτιθέμενοι εξασφαλίζουν την εκτέλεση κατά την επανεκκίνηση. Η ανίχνευση είναι περίπλοκη, καθώς πολλά εργαλεία αποσυμπίεσης δεν κανονικοποιούν ούτε επικυρώνουν canonical paths πριν από τη γραφή.
Οι ομάδες κυβερνοασφάλειας καλούνται να χρησιμοποιούν βιβλιοθήκες αποσυμπίεσης με ενσωματωμένους ελέγχους path traversal, να επιβάλλουν εξαγωγή σε περιβάλλοντα sandbox και να ενημερώνουν τα εργαλεία σε εκδόσεις που έχουν κυκλοφορήσει μετά τον Αύγουστο του 2025.
Η νέα παραλλαγή του Zip Slip αναδεικνύει ξανά πόσο ευάλωτα παραμένουν ακόμη και τα πιο θεμελιώδη εργαλεία λογισμικού, όπως τα utilities αποσυμπίεσης. Το ζήτημα δεν περιορίζεται μόνο στη διάδοση ενός τεχνικά εξελιγμένου exploit, αλλά και στο γεγονός ότι χιλιάδες χρήστες και επιχειρήσεις στηρίζονται σε λογισμικά τα οποία συχνά δεν ενημερώνονται συστηματικά. Αυτή η αδράνεια δημιουργεί ένα ιδανικό περιβάλλον για την εκμετάλλευση παλιών ή παραμελημένων βιβλιοθηκών.
Δείτε επίσης: Cephalus Ransomware: Αξιοποιεί το RDP για Αρχική Πρόσβαση
Η επικινδυνότητα της παραλλαγής δεν έγκειται απλώς στην υποκλοπή ή αλλοίωση δεδομένων, αλλά στη δυνατότητα των επιτιθέμενων να αποκτούν διαρκή παρουσία σε κρίσιμα συστήματα. Όταν ένα payload τοποθετείται σε startup folders ή service directories, μετατρέπεται ουσιαστικά σε "μόνιμο κάτοικο" του λειτουργικού, διαφεύγοντας συχνά της προσοχής ακόμα και καλά ρυθμισμένων antivirus λύσεων. Αυτό δίνει στους δράστες όχι μόνο άμεσο έλεγχο, αλλά και μακροπρόθεσμη πρόσβαση, καθιστώντας δυσκολότερη την αποκατάσταση.
Η εμφάνιση αυτής της παραλλαγής επιβεβαιώνει ότι οι παραδοσιακές τεχνικές εκμετάλλευσης δεν εξαφανίζονται· απλώς εξελίσσονται. Το ζητούμενο για οργανισμούς και χρήστες είναι να υιοθετήσουν μια πιο "zero trust" νοοτροπία απέναντι σε κάθε αρχείο και διαδικασία, αντί να βασίζονται σε παραδοσιακά, πλέον ανεπαρκή, μοντέλα άμυνας.
© SecNews.gr - Νέα Ευπάθεια Zip Slip: Εκμετάλλευση Κατά την Αποσυμπίεση Αρχείων
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672