Bilgisayar korsanları, popüler dosya arşivleyicisi 7-Zip’teki kritik bir uzaktan kod yürütme (RCE) güvenlik açığından aktif olarak yararlanmaya başladı ve milyonlarca kullanıcıyı kötü amaçlı yazılım bulaşması ve sistemin tehlikeye girmesi riskiyle karşı karşıya bıraktı.
CVE-2025-11001 olarak takip edilen kusur, ZIP arşivlerindeki sembolik bağlantıların hatalı işlenmesinden kaynaklanıyor ve saldırganların dizinler arasında geçiş yapmasına ve savunmasız sistemlerde rastgele kod çalıştırmasına olanak tanıyor.
İlk olarak Ekim 2025’te açıklanan bu güvenlik açığının CVSS v3 puanı 7,0 olup, yüksek ayrıcalıklar gerektirmeden yaygın kullanım potansiyeli nedeniyle yüksek önem derecesini vurgulamaktadır.
7-Zip RCE Güvenlik Açığı İstismar Edildi
CVE-2025-11001, hazırlanmış sembolik bağlantılar içeren ZIP dosyalarının ayrıştırılması sırasında ortaya çıkıyor ve 7-Zip’i, dosyaları amaçlanan çıkarma dizininin dışına yazması için kandırıyor.
Bu dizin geçişi, saldırganların kritik sistem dosyalarının üzerine yazmasına veya kötü amaçlı yükleri enjekte etmesine olanak tanıyarak, uygulamayı çalıştıran kullanıcı veya hizmet hesabı bağlamında tam kod yürütülmesine yol açabilir.
Trend Micro’nun Sıfır Gün Girişimi’ndeki (ZDI) güvenlik araştırmacıları, bir saldırganın korumalı alanlı ortamlardan kaçmak için bundan nasıl yararlanabileceğini ve bu durumun kurumsal ayarlardaki otomatik dosya işlemeyi özellikle tehlikeli hale getirebileceğini ayrıntılı olarak açıkladı.
Güvenlik açığı, GMO Flatt Security Inc.’den Ryota Shiga tarafından yapay zeka destekli AppSec Auditor aracıyla işbirliği içinde keşfedildi ve 7-Zip geliştiricilerine derhal bildirildi.
Kötü niyetli bir ZIP dosyasının rastgele dosya yazma işlemlerini kolaylaştırmak ve bazı senaryolarda RCE’yi yönlendirmek için sembolik bağlantı işlemeyi nasıl kötüye kullanabileceğini gösteren bir kavram kanıtlama (PoC) istismarı o zamandan beri kamuya açıklandı.
Bu PoC, tehdit aktörlerinin önündeki engeli azaltarak vahşi doğada gözlemlenen gerçek dünya saldırılarını hızlandırdı. Özellikle, istismarın minimum düzeyde kullanıcı etkileşimi gerektirmesi; Bubi tuzaklı bir arşivi açmak veya çıkarmak yeterlidir; bu, kimlik avı kampanyalarında ve rastgele indirmelerde yaygın bir vektördür.
Bu sorun münferit değildir; Temmuz 2025’te yayımlanan 7-Zip sürümü 25.00, aynı sembolik bağlantıyı yanlış işleyen temel nedeni paylaşan ve aynı CVSS puanı olan 7,0’ı taşıyan ilgili bir kusur olan CVE-2025-11002’yi de yamalıyor.
Her iki güvenlik açığı da 21.02 sürümünde ortaya çıktı ve dünya çapında 100 milyondan fazla Windows kullanıcısı tarafından sıkıştırma görevleri için kullanılan açık kaynak aracın önceki tüm sürümlerini etkiledi. İlk göstergeler, saldırganların dosya işlemenin rutin olduğu sağlık ve finans gibi sektörlerdeki yama uygulanmamış sistemleri hedef aldığını gösteriyor.
Birleşik Krallık’taki NHS England Digital, 18 Kasım 2025’te CVE-2025-11001’in aktif olarak kullanıldığını doğrulayan ve riskleri azaltmak için acil güncelleme çağrısında bulunan acil bir tavsiye belgesi yayınladı.
Tehdit aktörleri bu RCE’yi fidye yazılımı dağıtmak, hassas verileri çalmak veya kalıcı arka kapılar oluşturmak için kullanabilir, böylece ele geçirilen arşivlerin e-posta veya paylaşılan sürücüler aracılığıyla yayıldığı tedarik zinciri saldırılarındaki tehlikeyi artırabilir.
Toplu dosya işlemleri için 7-Zip’e güvenen kuruluşlar, otomatik çıkarmalar kötü amaçlı yazılımların ağlar arasında sessizce yayılmasına neden olabileceğinden artan tehditlerle karşı karşıyadır.
Bu tehdide karşı koymak için kullanıcılar ve kuruluşların 7-Zip’i resmi web sitesinden edinilebilecek 25.00 veya daha yeni bir sürüme güncellemesi gerekir; bu, geçiş girişimlerini engellemek için daha katı yol kanonikleştirmesini zorunlu kılar.
Yama, sembolik bağlantıların çıkarma sınırlarından kaçmasını önleyerek hem CVE-2025-11001 hem de CVE-2025-11002’yi etkisiz hale getiriyor. Etkilenen platformlar arasında 25.00’dan önce 7-Zip çalıştıran tüm Windows sürümleri yer alıyor ve henüz Linux veya macOS bağlantı noktaları üzerinde rapor edilmiş bir etki yok.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
