7-Zip pod ostrzałem: aktywne ataki na lukę RCE via symlinki (CVE-2025-11001) — co musisz zrobić teraz

securitybeztabu.pl 3 godzin temu

Wprowadzenie do problemu / definicja luki

NHS England Digital poinformowało o aktywnym wykorzystywaniu luki w 7-Zip oznaczonej jako CVE-2025-11001. Błąd dotyczy sposobu obsługi symbolicznych linków (symlinków) w archiwach ZIP i może prowadzić do wykonania dowolnego kodu (RCE) po stronie ofiary w określonych warunkach. Luka została naprawiona w 7-Zip 25.00 (Windows), a dodatkowe wzmocnienia mechanizmów symlinków znalazły się w 25.01. jeżeli wciąż używasz wersji < 25.00, jesteś w strefie ryzyka.

W skrócie

  • Status: aktywnie eksploatowana (potwierdzone przez NHS England Digital 18 listopada 2025 r.).
  • Wpływ: możliwość zapisania plików poza docelowym katalogiem podczas rozpakowywania ZIP (directory traversal), co w sprzyjających warunkach prowadzi do RCE.
  • Platforma: praktycznie Windows; exploit wymaga kontekstu uprzywilejowanego (np. usługa/administrator) lub trybu deweloperskiego.
  • Wersje podatne: przedział 21.02–25.00 (wg autora PoC); oficjalnie łatka w 25.00, dalsze utwardzenie w 25.01.
  • Pilne działanie: aktualizacja do 25.00+ (zalecane 25.01+) oraz wdrożenie kontroli bezpieczeństwa opisanych niżej.

Kontekst / historia / powiązania

Zgłoszenie przygotowała Trend Micro ZDI (Ryota Shiga, GMO Flatt Security, z użyciem narzędzia takumi-san.ai). Publiczny advisory ZDI pojawił się 7 października 2025 r. i wskazuje na CVE-2025-11001 (CVSS 7.0) oraz bliźniaczą CVE-2025-11002 — obie związane z obsługą symlinków w ZIP. 7-Zip 25.00 (lipiec 2025) „naprawia błędy i podatności”, a 25.01 (sierpień 2025) dodatkowo modyfikuje kod obsługi symlinków „dla większego bezpieczeństwa” przy ekstrakcji. 18 listopada 2025 r. NHS potwierdziło aktywną eksploatację CVE-2025-11001.

Analiza techniczna / szczegóły luki

Sednem problemu jest niewłaściwe traktowanie linków symbolicznych znajdujących się w archiwum ZIP. Źle przygotowany ZIP może sprawić, iż proces rozpakowywania „wyjdzie” poza katalog docelowy i zapisze pliki w miejscach niezamierzonych przez użytkownika (directory traversal). W kombinacji z uruchomieniem 7-Zip w uprzywilejowanym kontekście (np. jako usługa systemowa) taki zapis może prowadzić do nadpisania plików systemowych / ścieżek wykonywalnych, a w konsekwencji do wykonania kodu podczas późniejszego startu procesu/usługi. ZDI klasyfikuje to jako RCE, choć wektor CVSS to AV:L (wymagana lokalna interakcja/wywołanie). Autor publicznego PoC potwierdza, iż eksploatacja sensowna jest głównie na Windows i wymaga uprawnień administracyjnych lub kontekstu konta usługi.

Praktyczne konsekwencje / ryzyko

  • Środowiska build/deploy i stacje narzędziowe (Dev/CI/CD), gdzie 7-Zip działa z wyższymi uprawnieniami, są najbardziej narażone. Atak może nadpisać pliki binarne/skrypty uruchamiane później przez pipeline lub usługę.
  • Serwery Windows wykonujące zadania rozpakowywania z uprawnieniami usługi mogą paść ofiarą eskalacji skutków do RCE poprzez „zatruwanie” ścieżek wykonywalnych lub miejsc ładowania DLL. (Wniosek na podstawie mechaniki luki i opisu ZDI.)
  • Użytkownicy końcowi zwykle są mniej zagrożeni pełnym RCE (brak uprzywilejowanego kontekstu), ale wciąż możliwy jest zapis poza docelowym katalogiem, co stanowi naruszenie integralności i wektory dalszych ataków (np. DLL search order hijacking).

Rekomendacje operacyjne / co zrobić teraz

1) Patch natychmiast:

  • Zaktualizuj 7-Zip na wszystkich hostach do ≥ 25.00; praktycznie rekomendujemy 25.01+, gdzie dodatkowo utwardzono logikę symlinków. Zweryfikuj wersję binarnie (hash/inventory), nie tylko deklarację w MDM/CMDB.

2) Hardening i polityki:

  • Na serwerach/agentach CI zabroń uruchamiania 7-Zip z uprawnieniami admin/system, chyba iż jest to absolutnie konieczne; uruchamiaj w zwykłym kontekście użytkownika. (Wniosek wynikający z wymagań exploita.)
  • Waliduj pliki ZIP pochodzące z nieufnych źródeł: rozpakowuj do tymczasowych sandboxów i weryfikuj, czy ścieżki nie wychodzą poza katalog docelowy (kontrola normalizacji ścieżek). (Zgodne z opisem mechanizmu ataku.)
  • Jeżeli automatyzujesz ekstrakcję, odrzucaj wpisy będące symlinkami lub prowadzące do ścieżek absolutnych/„..”. (Best practice wynikająca z advisory ZDI.)

3) Detekcja i reagowanie:

  • Szukaj w EDR/SIEM zdarzeń tworzenia symlinków przez procesy 7-Zip oraz zapisu poza katalogiem docelowym w krótkim oknie czasowym po rozpakowaniu ZIP. (Wniosek z opisu wektora.)
  • Koreluj uruchomienia 7zFM.exe/7z.exe w kontekście kont usług (LocalSystem, gMSA, itp.) — to czerwone flagi dla tej luki.
  • Jeśli podejrzewasz nadużycie, sprawdź ostatnie zmiany w ścieżkach autostartu, usługach i katalogach binarnych systemu (np. C:\Windows\System32, katalogi usług). (Wniosek operacyjny zgodny z profilem ataku.)

4) Ograniczenie wektora:

  • Tam, gdzie to możliwe, zastąp wrażliwe zadania rozpakowywania mechanizmem, który ignoruje symlinki lub rozwiązuje je wyłącznie w bezpiecznym jailu (chroot-like/temp). (Dobór kontrolny wynikający z natury podatności.)

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Istnieje pokrewna podatność CVE-2025-11002 (również CVSS 7.0), która dotyczy tej samej klasy problemów (symlinki w ZIP) i została naprawiona w tym samym wydaniu 7-Zip (25.00). W praktyce program naprawczy jest identyczny: przejście na 25.00+ i stosowanie dobrych praktyk z tej publikacji.

Podsumowanie / najważniejsze wnioski

  • CVE-2025-11001 jest w aktywnych kampaniach. Zaktualizuj do 7-Zip 25.01+ i unikać uruchamiania 7-Zip z uprawnieniami admin/usługi.
  • Wektor to symlinki w ZIP + traversal. Największe ryzyko dotyczy środowisk, gdzie 7-Zip działa uprzywilejowanie lub w pipeline’ach automatyzacji.
  • Detekcja: logi tworzenia symlinków, zapisy poza katalogiem docelowym, użycie 7-Zip przez konta usług. Reakcja: weryfikacja krytycznych ścieżek i autostartów. (Wnioski operacyjne spójne z treścią advisory i PoC.)

Źródła / bibliografia

  1. NHS England Digital — Active Exploitation Reported for CVE-2025-11001 in 7-Zip (18 listopada 2025) — potwierdzenie aktywnej eksploatacji i zalecenia. (NHS England Digital)
  2. Trend Micro Zero Day Initiative — ZDI-25-949 / CVE-2025-11001 — opis luki, CVSS, timeline, „fixed in 25.00”. (zerodayinitiative.com)
  3. Trend Micro Zero Day Initiative — ZDI-25-950 / CVE-2025-11002 — podatność pokrewna, ten sam mechanizm i naprawa. (zerodayinitiative.com)
  4. 7-Zip — history.txt — wpisy dla 25.00 (lipiec 2025) i 25.01 (sierpień 2025) wskazujące poprawki i zaostrzenie obsługi symlinków. (7-zip.org)
  5. GitHub (pacbypass) — CVE-2025-11001 PoC — uwagi o wymogach exploita (Windows, kontekst admin/usługi) i zakres wersji podatnych 21.02–25.00. (GitHub)
Idź do oryginalnego materiału
  1. Strona główna
  2. Podatności i biuletyny
  3. 7-Zip pod ostrzałem: aktywne ataki na lukę RCE via symlinki (CVE-2025-11001) — co musisz zrobić teraz

Powiązane

Dziesiątki tysięcy routerów ASUS przejętych w kampanii „WrtHug”. Co wiemy i jak się bronić

Dziesiątki tysięcy routerów ASUS przejętych w kampanii „WrtH...

3 godzin temu
CVE-2019-3396 — Atlassian Confluence “Widget Connector” RCE

CVE-2019-3396 — Atlassian Confluence “Widget Connector” RCE

11 godzin temu
CVE‑2025‑42944 – SAP NetWeaver AS Java

CVE‑2025‑42944 – SAP NetWeaver AS Java

12 godzin temu
Microsoft publikuje aktualizację przeglądarki Microsoft Edge do wersji 142.0.3595.90 (P25-417)

Microsoft publikuje aktualizację przeglądarki Microsoft Edge...

21 godzin temu
Krytyczna luka w AIX. Zdalni atakujący mogą przejąć kontrolę nad serwerami IBM

Krytyczna luka w AIX. Zdalni atakujący mogą przejąć kontrolę...

1 dzień temu
Krytyczna podatność w aplikacji UniFi Access

Krytyczna podatność w aplikacji UniFi Access

1 dzień temu
Aktualizacja Google Chrome łata dwie podatności

Aktualizacja Google Chrome łata dwie podatności

1 dzień temu
Microsoft odpiera rekordowy atak DDoS. Chmura Azure

Microsoft odpiera rekordowy atak DDoS. Chmura Azure

1 dzień temu