SOCshare: 2025 m. rugpjūčio apžvalga: WinRAR, Salesforce ir SharePoint incidentai

Icon

SOCshare: 2025 m. rugpjūčio apžvalga: WinRAR, Salesforce ir SharePoint incidentai

2025 m. rugpjūtį buvo užfiksuoti įvairūs incidentai – nuo „nematomų“ pažeidimų populiariame archyvavimo įrankyje „WinRAR“ iki didelių incidentų „Salesforce“ ir „SharePoint“ platformose

„WinRAR“ paverstas ginklu 

Rugpjūčio 8 d. ESET tyrėjai pranešė, kad su Rusija susijęs grėsmės veikėjas RomCom išnaudojo WinRAR CVE-2025-8088 pažeidžiamumą spearphishing atakose. 

„Path traversal“ pažeidžiamumas (7.13 ištaisytas) leido specialiai sukurtiems archyvams įdėti vykdomuosius failus į automatinio paleidimo direktorijas. Taigi ataka buvo paprasta: nusiųsti kenkėjišką RAR failą, kuris neatrodo įtartinas (pavyzdžiui, siunčiamas CV, o peržiūrint archyvą su WinRAR, matosi tik PDF failas), jį išarchyvuojant įdedamas kenksmingas failas, kuris pasileidžia su kitu prisijungimu ir užpuolikai turi prieigą. 

Tai buvo antras kartas, kai WinRAR buvo išnaudota „path traversal“ pažeidžiamumas (pirmas kartas buvo birželio mėnesį, CVE-2025-6218). Dabar rėmėsi ADS triuku – vykdomųjų failų paslėpimu NTFS alternatyviuose duomenų srautuose, todėl jie tapdavo praktiškai nematomi aukoms. 

Vartotojai privalo atsinaujinti WinRAR, kuriame nėra automatinio atnaujinimo funkcijos. Kai ESET apie tai paskelbė viešai, RomCom jau kelias savaites aktyviai naudojo tai spearphishing kampanijose. 

Kas dar įvyko 2025 m. rugpjūčio mėnesį? 

Rugpjūčio mėnesį įsilaužėliai ėmėsi veiksmų prieš platformomis, kuriomis mes pasitikime savo duomenimis. Tai buvo mėnuo, kurį pažymėjo didžiuliai tiekimo grandinės sutrikimai ir rizikingi politiniai veiksmai. 

  • Salesforce: Rugpjūčio 8–18 d. grėsmės veikėjas UNC6395 surengė duomenų vagystės kampaniją, pažeisdamas OAuth tokenus, susietus su „Salesloft Drift“ integracija. Išnaudodami šia integracija, užpuolikai apėjo CRM lygiu MFA, kad išgautų konfidencialius prisijungimo duomenis (įskaitant AWS raktus ir „Snowflake“ raktus) iš šimtų „Salesforce“ instancijų. Šis incidentas įrodė, kad net ir sustiprinta pagrindinė sistema lieka pažeidžiama, jei jos trečiųjų šalių integracijos turi pernelyg dideles teises. 
  • SharePoint „ToolShell” atakos: nenustatyti grėsmės aktoriai pasinaudojo „SharePoint“ zero-day pažeidžiamumu (tikslus pažeidžiamumas nebuvo atskleistas, bet tikriausiai susijęs su CVE-2025-53770), kad įsibrautų į Canadian House of Commons. Tokių atakų (tyrėjų pavadintų „ToolShell“) buvo ne viena, panaudojant „SharePoint“ zero-day pažeidžiamumus, buvo išgauta konfidenciali darbuotojų informacija ir įrenginių valdymo duomenų bazės. 
  • „Regioninis kibernetinis aljansas“: Rugpjūčio 1 d. Ukraina, Rumunija ir Moldavija oficialiai įkūrė Regioninį kibernetinį aljansą. Tai buvo tiesioginis atsakas į koordinuotus su Rusija susijusius veiksmus. Siekiama stiprinti bendradarbiavimą ir kibernetinę gynybą keičiantis informacija apie kibernetines grėsmes, bendrai kuriant ir įgyvendinant dirbtinio intelekto sprendimus bei rengiant specialistus. 

Žvilgsnis į ateitį

Integracijų auditas
Integracijų auditas
Apsaugokite ne tik savo prisijungimo duomenis, bet ir OAuth leidimus. Dauguma įmonių turi programas „zombius“, turinčias aukšto lygio teises prie jų CRM arba HR duomenų. Jei programai nereikia skaityti visos jūsų klientų duomenų bazės, anuliuokite jos prieigos raktus.
Atitiktis teisės aktams
Atitiktis teisės aktams
Nuo 2025 m. rugpjūčio 1 d. įsigaliojo ES radijo ryšio įrangos direktyvos (RED) reikalavimai, taikomi prie interneto prijungtiems įrenginiams. Jei esate gamintojas ar verslo užsakovas, įsitikinkite, kad jūsų įranga atitinka šiuos naujus reikalavimus.

Būkite budrūs ir automatizuokite savo higieną

Būkite budrūs, automatizuokite savo higieną ir nepamirškite, kad jūsų saugumas yra toks pat stiprus, kaip ir nepastebima trečiosios šalies integracija. 

Šaltiniai: 

Šis straipsnis – dalis „SOCshare“ projekto, kuriuo siekiama skatinti efektyvesnį dalijimąsi informacija apie kibernetines grėsmes ir jų aptikimo būdus. Projektą iš dalies finansuoja Europos Sąjunga. Išsakytos nuomonės ir požiūriai yra tik autorių ir nebūtinai atspindi Europos Sąjungos ar Europos kibernetinio saugumo kompetencijos centro požiūrį ir nuomonę. Nei Europos Sąjunga, nei Europos kibernetinio saugumo kompetencijos centras negali būti laikomi atsakingais už jas.

Kitos naujienos ir istorijos

SOCshare: 2026 m. gegužės kibernetinio saugumo apžvalga
SOCshare: 2026 m. gegužės kibernetinio saugumo apžvalga
SOCshare 2026 m. balandis: Adobe Acrobat Reader, Claude ir fišingas
SOCshare 2026 m. balandis: Adobe Acrobat Reader, Claude ir fišingas
SOCcare 2026 m. kovas: Malpeek - PYKSPA „dovanėlė“ foto salone
SOCcare 2026 m. kovas: Malpeek - PYKSPA „dovanėlė“ foto salone
SOCshare: Kibernetinio saugumo apžvalga - 2026 m. vasaris
SOCshare: Kibernetinio saugumo apžvalga - 2026 m. vasaris
SOCshare: Kibernetinio saugumo padėtis - 2026 m. sausio mėn. apžvalga
SOCshare: Kibernetinio saugumo padėtis - 2026 m. sausio mėn. apžvalga
SOCshare: kibernetinio saugumo grėsmių apžvalga 2025 m. gruodį
SOCshare: kibernetinio saugumo grėsmių apžvalga 2025 m. gruodį
Dažniausiai pasitaikantys mitai susiję su DORA reglamento įgyvendinimu mūsų praktikoje
Dažniausiai pasitaikantys mitai susiję su DORA reglamento įgyvendinimu mūsų praktikoje
SOCshare: Kibernetinio saugumo apžvalga 2025 m. lapkritį
SOCshare: Kibernetinio saugumo apžvalga 2025 m. lapkritį