Misbruik van bestandssymlinks kan leiden tot het verwijderen van bestanden behorend aan de SYSTEM gebruiker

Een succesvolle exploitatie van CVE-2025-0651 kan leiden tot onverwacht dataverlies of systeeminstabiliteit. Een aanvaller kan symlinks aanmaken in de C:\ProgramData\Cloudflare\warp-diag-partials map en vervolgens de 'Reset all settings' optie activeren. Hierdoor worden bestanden verwijderd waarnaar de symlinks verwijzen, en omdat de WARP service met System privileges draait, kunnen dit kritieke systeembestanden zijn. De impact kan variëren afhankelijk van welke bestanden worden verwijderd, maar kan in het ergste geval leiden tot een onbruikbaar systeem of dataverlies. Het is vergelijkbaar met scenario's waarbij misbruik wordt gemaakt van symlinks om toegang te krijgen tot beschermde gebieden van het bestandssysteem.

Organizations and individuals using Cloudflare WARP on Windows are at risk. This includes users who have not yet updated to the latest version and those with legacy configurations that might be more susceptible to exploitation. Shared hosting environments where multiple users have access to the system are also at increased risk.

• windows / supply-chain:

Get-ScheduledTask | Where-Object {$_.TaskName -like '*WARP*'} | Select-Object TaskName, State

• windows / supply-chain:

Get-Process | Where-Object {$_.ProcessName -like '*warp*'} | Select-Object ProcessName, Id

• windows / supply-chain: Check the registry for unusual entries under HKEYCURRENTUSER\Software\Cloudflare\WARP or HKEYLOCALMACHINE\Software\Cloudflare\WARP that might indicate malicious configuration. • windows / supply-chain: Use Windows Defender to search for suspicious processes or files related to WARP, particularly those creating symbolic links in the C:\ProgramData\Cloudflare\warp-diag-partials directory.

1. 2025-01-22Disclosure

   disclosure

1. Gereserveerd2025-01-22
2. Gepubliceerd2025-01-22
3. Gewijzigd2025-02-12
4. EPSS bijgewerkt2026-04-02

De primaire mitigatie voor CVE-2025-0651 is het updaten van Cloudflare WARP naar versie 2024.12.492.0 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van gebruikers die toegang hebben tot de C:\ProgramData\Cloudflare\warp-diag-partials map. Controleer de map op verdachte symlinks en verwijder deze. Hoewel er geen specifieke WAF-regels of detectiesignaturen beschikbaar zijn, kan het monitoren van procesactiviteit en bestandstoegang in de genoemde map helpen bij het detecteren van potentiële exploits. Na de upgrade, controleer of de WARP service correct functioneert en of er geen onverwachte fouten optreden.