黑客利用Zimbra协作套件中的Unpatched Rce缺陷

Zimbra的企业协作软件和电子邮件平台中存在严重的远程代码执行漏洞，目前没有修补程序以用来修复该问题。

该缺陷被指定为CVE – 2022 – 41352，其严重等级为CVSS 9.8，该缺陷为攻击者上传任意文件和在安装上执行恶意操作提供了途径。

网络安全公司Rapid7在本周发布的一份分析报告中说，这种漏洞是由于Zimbra的防病毒引擎( Amavis )扫描入站电子邮件的方法( cpio )造成的。

据津布拉论坛分享的细节，该问题自2022年9月初以来被滥用。虽然修补程序尚未发布，但Zimbra正在敦促用户安装” pax “实用程序并重新启动Zimbra服务。

该公司上个月表示，如果pax包未安装，Amavis将回退到使用cpio，遗憾的是该回退实现得很差(由Amavis )，并将允许未经验证的攻击者在Zimbra服务器上创建和覆盖文件，包括Zimbra webroot。

该漏洞存在于软件的8.8 . 15和9.0版本中，影响了多个Linux发行版，如Oracle Linux 8、Red Hat Enterprise Linux 8、Rocky Linux 8和CentOS 8，但Ubuntu除外，因为默认情况下已经安装了pax。

成功利用该漏洞需要攻击者将归档文件( CPIO或TAR)通过电子邮件发送给易受攻击的服务器，然后由Amavis使用cpio文件归档器实用程序对其进行检查以提取其内容。

Rapid7研究人员Ron Bowes说：”由于cpio没有可以安全地用于不可信文件的模式，攻击者可以写入Zimbra用户可以访问的文件系统上的任何路径。”最可能的结果是攻击者在Web根目录中植入一个shell来获得远程代码执行，尽管可能存在其他途径。

Zimbra说，它希望在下一个Zimbra补丁中解决这个漏洞，这将消除对cpio的依赖，而不是使pax成为一个需求。然而，它没有提供一个具体的时间框架，何时修复将可用。

Rapid7还指出，CVE – 2022 – 41352与CVE – 2022 – 30333 “完全相同”，这是在今年6月初曝光的Unix版本RARlab unRAR实用程序中的路径遍历缺陷，唯一不同的是新缺陷使用了CPIO和TAR存档格式，而不是RAR。

更令人不安的是，据说Zimbra进一步容易受到另一个zero-days权限提升缺陷的影响，该缺陷可以与cpio零日链接，实现服务器的远程根妥协。

津布拉一直是威胁行为者的一个受欢迎的目标。8月，美国网络安全和基础设施安全局( CISA )警告攻击者利用软件中的多个缺陷破坏网络。