黑客利用 Zimbra 协作套件中未修补的 RCE 漏洞

Zimbra 的企业协作软件和电子邮件平台中的一个严重的远程代码执行漏洞正在被积极利用，目前没有可用的补丁来修复该问题。

分配为CVE-2022-41352的缺陷具有 CVSS 9.8 的严重等级，为攻击者提供了上传任意文件并对受影响的安装执行恶意操作的途径。

“该漏洞是由于Zimbra 的防病毒引擎 ( Amavis ) 扫描入站电子邮件的方法 ( cpio ) 造成的，”网络安全公司 Rapid7在本周发布的一份分析报告中表示。

根据Zimbra 论坛上分享的详细信息，据说该问题自 2022 年 9 月上旬以来一直被滥用。虽然尚未发布修复程序，但这家软件服务公司正在敦促用户安装“pax”实用程序并重新启动 Zimbra 服务。

“如果没有安装pax 包，Amavis 将回退到使用 cpio，不幸的是，回退（由 Amavis）实现得很差，并且将允许未经身份验证的攻击者在 Zimbra 服务器上创建和覆盖文件，包括 Zimbra webroot ”该公司上个月表示。

该漏洞存在于该软件的 8.8.15 和 9.0 版本中，影响多个 Linux 发行版，例如 Oracle Linux 8、Red Hat Enterprise Linux 8、Rocky Linux 8 和 CentOS 8，Ubuntu 除外，因为默认情况下已安装该 pax。

成功利用该漏洞需要攻击者通过电子邮件将存档文件（CPIO 或 TAR）发送到易受攻击的服务器，然后 Amavis 使用 cpio 文件存档器实用程序对其进行检查以提取其内容。

“由于 cpio 没有可以安全地用于不受信任的文件的模式，因此攻击者可以写入 Zimbra 用户可以访问的文件系统上的任何路径，”Rapid7 研究员 Ron Bowes 说。“最可能的结果是攻击者在 Web 根目录中植入 shell 以获取远程代码执行，尽管可能存在其他途径。”

Zimbra 表示，预计该漏洞将在下一个软件补丁中得到解决，该补丁将消除对 cpio 的依赖，而是要求 pax。但是，它没有提供修复何时可用的具体时间表。

Rapid7 还指出，CVE-2022-41352 与 CVE-2022-30333 “实际上相同” ，这是 RARlab 的 unRAR 实用程序的 Unix 版本中的路径遍历漏洞，该漏洞于今年 6 月初曝光，唯一的区别是新漏洞利用CPIO 和 TAR 归档格式而不是 RAR。

更令人不安的是，据说 Zimbra 更容易受到另一个零日权限提升漏洞的攻击，该漏洞可以与 cpio 零日漏洞链接，以实现服务器的远程 root 入侵。

Zimbra 已成为威胁行为者的热门目标这一事实绝非新鲜事。8 月，美国网络安全和基础设施安全局 (CISA)警告对手利用软件中的多个漏洞来破坏网络。