Popüler 7-ZIP dosya sıkıştırma yazılımında yeni açıklanan bir güvenlik açığı, siber güvenlik topluluğunda önemli endişeler yaratmıştır.
Güvenlik araştırmacısı Landon tarafından 9 Ağustos 2025’te keşfedilen ve bildirilen CVE-2025-55188, saldırganların arşiv çıkarma sırasında keyfi dosya yazıları gerçekleştirmesine izin veriyor ve potansiyel olarak savunmasız sistemlerde kod yürütülmesine yol açıyor.
Güvenlik açığı, 25.01’den önce 7-ZIP’nin tüm sürümlerini etkiler ve ekstraksiyon işlemi sırasında sembolik bağlantıların uygunsuz kullanılması kaynaklanır.
Kullanıcılar güvenli olmayan sembolik bağlantılar içeren kötü niyetli bir arşiv çıkardıklarında, 7-ZIP çıkarma sırasında bu bağlantıları takip ederek saldırganların amaçlanan çıkarma dizini dışındaki konumlara dosya yazmasını sağlar.
7-ZIP Rasgeler Dosya Güvenlik Açığı Yazma
Güvenlik açığı 7-ZIP’nin sembolik bağlantı işleme mekanizmasını kullanır. Güvenlik danışmanlığına göre, saldırı özel koşulların başarılı olmasını gerektiriyor.
Linux sistemleri için saldırganların, Zip, TAR, 7Z veya RAR dosyaları gibi sembolik bağlantıları destekleyen bir arşiv formatı çıkarırken, savunmasız bir 7-ZIP sürümü kullanma hedefine ihtiyaçları vardır. Sömürü süreci Linux ortamlarında daha basittir.
Windows sistemlerinde başarılı bir sömürü için ek gereksinimler karşılanmalıdır. 7-ZIP ekstraksiyon işlemi, sembolik bağlantılar oluşturmak için yüksek ayrıcalıklara sahip olmalı veya Windows geliştirici modunda çalışmalıdır. Bu, Windows sistemlerini biraz daha az duyarlı hale getirir, ancak saldırıya karşı bağışık değildir.
Bu koşullar karşılandıktan sonra, saldırganlar hassas sistem dosyalarına işaret eden sembolik bağlantılar içeren kötü niyetli arşivler oluşturabilirler. Çıkarıldığında, 7-ZIP bu sembolik bağlantıları takip ederek saldırganların SSH tuşları, .bashrc dosyaları veya diğer sistem yapılandırmaları gibi kritik dosyaların üzerine yazmasına izin verir.
CVSS puanı 2.7 almasına rağmen, onu düşük bir şiddet olarak kategorize eden güvenlik uzmanları, pratik etkinin çok daha önemli olabileceği konusunda uyarıyor. Güvenlik açığı, saldırganların sistem davranışını kontrol eden hassas dosyaları hedefleyerek yetkisiz erişim ve kod yürütme elde etmelerini sağlar.
Tek bir çıkarma işlemi sırasında, saldırganlar birden fazla dosya üzerine yazma deneyebilir ve hedef sistemden ödün verme şansını artırabilir.
Güvenlik açığı özellikle ilgilidir, çünkü 7-ZIP sembolik bağlantı çözünürlüğünden önce dosya yollarını görüntüler ve saldırganların kötü niyetli yazılarının gerçek hedefini gizlemelerine izin verir.
Hafifletme
7-ZIP sürüm 25.01, 3 Ağustos 2025’te piyasaya sürüldü, bu güvenlik açığını geliştirilmiş sembolik bağlantı işlemesi ile ele alıyor. Güncelleme, arşiv çıkarma sırasında güvensiz sembolik bağlantı oluşturmayı önlemek için önemli güvenlik iyileştirmeleri içeriyor.
Yeni sürüm, sembolik bağlantılar oluştururken varsayılan güvenlik kontrollerini atlayabilen ve yöneticilere varsayılan olarak güvenliği korurken kontrollü esneklik sağlayabilen bir komut satırı anahtarı (-snld20) getirir.
Güvenlik araştırmacıları, özellikle 7-ZIP’nin işletme ve kişisel bilgi işlem ortamlarında yaygın kullanımı göz önüne alındığında, hemen yama yapmanın önemini vurguladılar. Güvenlik açığı birden fazla güvenlik veritabanında izlendi ve çeşitli siber güvenlik organizasyonlarından tavsiyelerde bulundu.
Azaltma stratejileri, 7-ZIP 25.01’e derhal güncellenmeyi, güvenilmeyen kaynaklardan arşivlerin çıkarılmasından kaçınmayı ve bilinmeyen dosyaların işlenmesi için kum havuzlu ortamların uygulanmasını içerir. Kuruluşlar ayrıca, yazılımın otomatik güncelleme özelliklerinden yoksun olduğu için 7 ZIP kurulumlarının tümü güncellenmesini sağlamak için sistemlerini denetlemelidir.
Bu olay, CVE-2025-0411 ve CVE-2024-11477 dahil olmak üzere 7-ZIP’deki son güvenlik açıklarının bir modelini takip ederek güvenilmeyen kaynaklardan sıkıştırılmış dosyaları kullanırken uyanık güvenlik uygulamalarına devam eden ihtiyacı gösteriyor.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın