CISA alerta sobre explotación activa de vulnerabilidad crítica CVE-2025-6218 en WinRAR

Introducción

El 25 de junio de 2024, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha actualizado su catálogo de Vulnerabilidades Conocidas y Explotadas (KEV) incorporando el fallo de seguridad CVE-2025-6218, que afecta directamente al popular software de compresión WinRAR. Esta decisión responde a la existencia de pruebas fehacientes de explotación activa en entornos reales, lo que eleva el nivel de alerta para equipos de seguridad, administradores de sistemas y profesionales del sector.

Contexto del Incidente o Vulnerabilidad

WinRAR es uno de los programas de compresión y extracción de archivos más utilizados a nivel mundial, especialmente en entornos Windows. Su uso masivo lo convierte en un objetivo recurrente para atacantes, quienes buscan vulnerabilidades que permitan comprometer sistemas a través de archivos manipulados. El CVE-2025-6218, con un CVSS de 7,8, es una vulnerabilidad de traversía de rutas (path traversal) que podría facilitar la ejecución de código arbitrario en los sistemas afectados. La inclusión en el catálogo KEV de CISA implica que la vulnerabilidad no solo es teórica o de laboratorio, sino que ya está siendo aprovechada activamente en campañas maliciosas.

Detalles Técnicos

La vulnerabilidad CVE-2025-6218 reside en la forma en la que WinRAR gestiona determinadas rutas de archivos durante la extracción de archivos comprimidos. El error permite a un atacante crear un archivo especialmente manipulado (por ejemplo, un .RAR o .ZIP) que, al ser abierto o extraído por el usuario, puede sobrescribir archivos fuera del directorio de destino previsto. Esto se logra aprovechando secuencias de directorios como “..” en los nombres de archivo comprimidos, lo que facilita ataques de path traversal.

La potencial explotación de esta vulnerabilidad permitiría, por ejemplo:

– Sobrescribir archivos críticos del sistema o del usuario, como scripts de inicio o ejecutables.
– Escribir payloads maliciosos que se ejecuten en el próximo inicio del sistema o aplicación.
– Facilitar la escalada de privilegios si el usuario que ejecuta WinRAR dispone de permisos elevados.

Según el framework MITRE ATT&CK, este vector se alinea con las técnicas T1566 (Phishing), T1204 (User Execution) y T1105 (Ingress Tool Transfer), ya que el ataque habitualmente requiere la interacción del usuario (abrir un archivo comprimido recibido por email, descarga o mensajería instantánea). Los Indicadores de Compromiso (IoC) incluyen la aparición de archivos fuera de su ruta habitual tras la extracción y la presencia de nombres de archivos con secuencias de directorios anómalas.

Hasta el momento, se han detectado exploits en circulación tanto en foros clandestinos como en repositorios públicos. Algunos kits de explotación ya integran la vulnerabilidad en frameworks como Metasploit, lo que multiplica el riesgo de ataques automatizados y masivos.

Impacto y Riesgos

El impacto de CVE-2025-6218 es especialmente relevante en organizaciones que utilizan WinRAR en estaciones de trabajo, servidores de archivos o equipos de administración. Los riesgos principales son:

– Ejecución remota de código con los permisos del usuario afectado.
– Exfiltración de información sensible al sobrescribir o leer archivos fuera de la carpeta objetivo.
– Persistencia y movimiento lateral, especialmente si los atacantes logran comprometer cuentas privilegiadas.
– Riesgo de incumplimiento normativo (GDPR, NIS2) en caso de fuga de datos o inyección de malware.

Según datos de Statcounter y otras fuentes del sector, WinRAR cuenta con más de 500 millones de instalaciones activas. La tasa de actualización es baja en entornos corporativos, donde todavía se observan versiones antiguas (anteriores a la 6.24) vulnerables a este fallo.

Medidas de Mitigación y Recomendaciones

La principal recomendación es actualizar inmediatamente WinRAR a la versión más reciente (6.24 o superior), en la que el fabricante ha corregido la vulnerabilidad. Además, se recomienda a los equipos de seguridad:

– Monitorizar logs de extracción y alertar sobre archivos extraídos fuera de las rutas estándar.
– Restringir la ejecución de WinRAR a usuarios sin privilegios administrativos.
– Implementar soluciones antimalware que inspeccionen archivos comprimidos en tiempo real.
– Educar a los usuarios sobre los riesgos de abrir archivos comprimidos de fuentes no verificadas.
– Revisar y aplicar políticas de whitelisting/blacklisting para aplicaciones de compresión en endpoints.

Opinión de Expertos

Expertos del sector, como analistas de SOC y pentesters, coinciden en que las vulnerabilidades en utilidades ampliamente usadas como WinRAR suponen un vector de riesgo elevado por su facilidad de explotación y el bajo nivel de sofisticación requerido. Según Juan Martínez, CISO de una empresa del IBEX 35, “la velocidad de parcheo es clave: la mayoría de las intrusiones exitosas aprovechan ventanas de exposición de días o semanas tras la publicación de la vulnerabilidad”. Por su parte, Marta Gómez, analista de amenazas, recalca que “la explotación de CVE-2025-6218 ya está siendo automatizada en campañas de phishing dirigidas a usuarios de empresas de todos los tamaños”.

Implicaciones para Empresas y Usuarios

Para las organizaciones, este incidente subraya la importancia de mantener un inventario actualizado de software y de priorizar la gestión de vulnerabilidades según los catálogos KEV. El incumplimiento de las obligaciones de protección de datos bajo GDPR y NIS2 puede acarrear sanciones económicas graves en caso de brechas explotadas por esta vía. Para los usuarios, el mensaje es claro: no abrir archivos comprimidos de origen dudoso y mantener siempre actualizado el software.

Conclusiones

La inclusión de CVE-2025-6218 en el catálogo KEV de CISA debe considerarse una llamada urgente a la acción. La explotación activa de esta vulnerabilidad en WinRAR pone en riesgo a millones de sistemas a nivel global. La actualización inmediata, la vigilancia proactiva y la concienciación de usuarios son imprescindibles para mitigar el impacto de este fallo.

(Fuente: feeds.feedburner.com)