Οι χάκερ έχουν αρχίσει να εκμεταλλεύονται ενεργά μια ευπάθεια κρίσιμης απομακρυσμένης εκτέλεσης κώδικα (RCE) στο δημοφιλές πρόγραμμα αρχειοθέτησης αρχείων 7-Zip, θέτοντας εκατομμύρια χρήστες σε κίνδυνο μόλυνσης από κακόβουλο λογισμικό και παραβίασης του συστήματος.
Το ελάττωμα, που εντοπίζεται ως CVE-2025-11001, προέρχεται από ακατάλληλο χειρισμό συμβολικών συνδέσμων σε αρχεία ZIP, επιτρέποντας στους εισβολείς να διασχίζουν καταλόγους και να εκτελούν αυθαίρετο κώδικα σε ευάλωτα συστήματα.
Αποκαλύφθηκε για πρώτη φορά τον Οκτώβριο του 2025, αυτή η ευπάθεια έχει βαθμολογία CVSS v3 7,0, υπογραμμίζοντας την υψηλή σοβαρότητά της λόγω της πιθανότητας ευρείας εκμετάλλευσης χωρίς να απαιτούνται αυξημένα προνόμια.
Εκμετάλλευση ευπάθειας RCE 7-Zip
Το CVE-2025-11001 προκύπτει κατά την ανάλυση αρχείων ZIP που περιέχουν δημιουργημένους συμβολικούς συνδέσμους, οι οποίοι ξεγελούν το 7-Zip για να γράψει αρχεία εκτός του προβλεπόμενου καταλόγου εξαγωγής.
Αυτή η διέλευση καταλόγου μπορεί να επιτρέψει στους εισβολείς να αντικαταστήσουν κρίσιμα αρχεία συστήματος ή να εισάγουν κακόβουλα ωφέλιμα φορτία, οδηγώντας σε πλήρη εκτέλεση κώδικα στο πλαίσιο του λογαριασμού χρήστη ή υπηρεσίας που εκτελεί την εφαρμογή.
Οι ερευνητές ασφαλείας στο Zero Day Initiative (ZDI) της Trend Micro εξέθεσαν πώς ένας εισβολέας θα μπορούσε να το αξιοποιήσει για να ξεφύγει από περιβάλλοντα με περιβάλλον άμμου, καθιστώντας το ιδιαίτερα επικίνδυνο για την αυτοματοποιημένη επεξεργασία αρχείων σε εταιρικές ρυθμίσεις.
Η ευπάθεια ανακαλύφθηκε από τη Ryota Shiga της GMO Flatt Security Inc., σε συνεργασία με το εργαλείο AppSec Auditor που λειτουργεί με AI και αναφέρθηκε αμέσως στους προγραμματιστές του 7-Zip.
Έκτοτε κυκλοφόρησε δημόσια μια εκμετάλλευση απόδειξης της ιδέας (PoC), που δείχνει πώς ένα κακόβουλο αρχείο ZIP μπορεί να κάνει κατάχρηση του χειρισμού συμβολικών συνδέσμων για να διευκολύνει την αυθαίρετη εγγραφή αρχείων και, σε ορισμένα σενάρια, να κατευθύνει το RCE.
Αυτό το PoC έχει μειώσει το φράγμα για τους παράγοντες απειλών, επιταχύνοντας τις πραγματικές επιθέσεις που παρατηρούνται στη φύση. Συγκεκριμένα, η εκμετάλλευση απαιτεί ελάχιστη αλληλεπίδραση με τον χρήστη. Αρκεί απλώς να ανοίξετε ή να εξάγετε ένα αρχείο παγιδευμένο με εκρηκτικά, ένα κοινό διάνυσμα στις καμπάνιες ηλεκτρονικού ψαρέματος και τις λήψεις με κίνηση.
Αυτό το ζήτημα δεν είναι μεμονωμένο. Η έκδοση 25.00 7-Zip, η οποία κυκλοφόρησε τον Ιούλιο του 2025, επιδιορθώνει επίσης ένα σχετικό ελάττωμα, το CVE-2025-11002, το οποίο μοιράζεται την ίδια βασική αιτία κακής διαχείρισης συμβολικού συνδέσμου και φέρει την ίδια βαθμολογία CVSS 7,0.
Και οι δύο ευπάθειες εισήχθησαν στην έκδοση 21.02, επηρεάζοντας όλες τις προηγούμενες εκδόσεις του εργαλείου ανοιχτού κώδικα που χρησιμοποιείται από περισσότερους από 100 εκατομμύρια χρήστες Windows παγκοσμίως για εργασίες συμπίεσης. Οι πρώτοι δείκτες υποδηλώνουν ότι οι εισβολείς στοχεύουν μη επιδιορθωμένα συστήματα σε τομείς όπως η υγειονομική περίθαλψη και τα οικονομικά, όπου ο χειρισμός αρχείων είναι ρουτίνα.
Το NHS England Digital του Ηνωμένου Βασιλείου εξέδωσε ένα επείγουσα συμβουλευτική στις 18 Νοεμβρίου 2025, επιβεβαιώνοντας την ενεργή εκμετάλλευση του CVE-2025-11001, προτρέποντας άμεσες ενημερώσεις για τον μετριασμό των κινδύνων.
Οι φορείς απειλών θα μπορούσαν να χρησιμοποιήσουν αυτό το RCE για να αναπτύξουν ransomware, να κλέψουν ευαίσθητα δεδομένα ή να δημιουργήσουν μόνιμες κερκόπορτες, ενισχύοντας τον κίνδυνο σε επιθέσεις στην αλυσίδα εφοδιασμού όπου τα παραβιασμένα αρχεία εξαπλώνονται μέσω email ή κοινόχρηστων δίσκων.
Οι οργανισμοί που βασίζονται στο 7-Zip για λειτουργίες μαζικών αρχείων αντιμετωπίζουν αυξημένες απειλές, καθώς οι αυτοματοποιημένες εξαγωγές θα μπορούσαν να διαδώσουν σιωπηλά κακόβουλο λογισμικό στα δίκτυα.
Για την αντιμετώπιση αυτής της απειλής, οι χρήστες και οι οργανισμοί πρέπει να ενημερώσουν το 7-Zip στην έκδοση 25.00 ή μεταγενέστερη, που διατίθεται από τον επίσημο ιστότοπο, ο οποίος επιβάλλει αυστηρότερη κανονικοποίηση διαδρομής για τον αποκλεισμό προσπαθειών διέλευσης.
Το έμπλαστρο εμποδίζει τους συμβολικούς συνδέσμους να ξεφύγουν από τα όρια εξαγωγής, εξουδετερώνοντας τόσο το CVE-2025-11001 όσο και το CVE-2025-11002. Οι πλατφόρμες που επηρεάζονται περιλαμβάνουν όλες τις εκδόσεις των Windows που εκτελούνται με 7-Zip πριν από τις 25:00, χωρίς να έχουν αναφερθεί ακόμη επιπτώσεις στις θύρες Linux ή macOS.
