新观察到的 Zip Slip 漏洞变体已经出现,使威胁行为者能够利用广泛使用的解压缩实用程序中的路径遍历缺陷。
利用此漏洞的漏洞会制作恶意存档,其中包含具有相对路径的特殊构造文件名。
当毫无戒心的用户或自动化系统提取这些存档时,文件会写入预期的提取目录之外,从而可能覆盖关键系统或应用程序二进制文件。
早期报告表明,攻击者正在将这种技术武器化,以植入后门并在 Windows 和 Unix 目标上升级权限。
与将文件位置限制为子文件夹的传统存档不同,恶意 ZIP 文件包含条目。
解压缩后,这些条目会绕过不充分的路径清理,并将有效负载直接存入系统目录。
最初的事件是在内部渗透测试中发现的,但最近归因于 RomCom APT 组织的更复杂的活动已经证明了企业环境中的实弹利用。
ASEC 分析师发现,该变体利用 ZIP 标头中的通用位标志对路径分隔符进行编码,从而逃避基于签名的扫描仪的检测。
在一个案例中,一个受损的电子邮件附件提供了一个 ZIP 存档,当使用过时的解压缩工具打开该存档时,会悄无声息地覆盖合法的启动脚本。
对存档结构的检查表明,从偏移量0x1E开始的文件名字段包含由百分比编码斜杠分隔的路径段,这些斜杠仅在文件创建期间被解码。
随后的逆向工程发现,恶意存档利用 Python 的模块将相对路径直接插入文件名字段。zipfile
该技术利用的主要漏洞包括:
- CVE-2025-8088 – 它影响 7.13 版之前的 WinRAR,并允许通过备用数据流遍历绕过路径验证。
- CVE-2025-6218 – WinRAR 7.12 之前版本中的远程代码执行缺陷,该缺陷在使用空格时会绕过相对路径过滤器。
- CVE-2022-30333 – 它针对 6.12 之前的 RARLAB Unrar,通过路径覆盖 SSH authorized_keys。
"../../example" - CVE-2018-20250 – 这通过绕过 UNACEV2.dll 过滤逻辑滥用 WinRAR 5.61 之前的 ACE 格式提取。
除了简单的文件覆盖之外,此变体还支持嵌入旨在保持持久性的可执行脚本和 DLL。
通过将有效负载写入启动文件夹或 systemd 服务目录,攻击者可以确保在重新启动时执行。由于许多解压缩实用程序在写入之前不会规范化或验证规范路径,因此检测变得复杂。
建议网络安全团队使用具有内置路径遍历检查的解压缩库,在沙盒环境中强制提取,并将工具更新到 2025 年 8 月之后发布的补丁版本,其中包括严格的目录验证例程。
