黑客利用Zimbra协作套件中未调度的RCE漏洞

Zimbra的企业协作软件和电子邮件平台中存在一个严重的远程代码执行漏洞，目前正在积极利用该漏洞，目前还没有修补程序来解决该问题。

该缺陷被分配为CVE-22-41352，严重程度等级为CVSS 9.8，为攻击者上传任意文件和对受影响的安装执行恶意操作提供了途径。

网络安全公司Rapid7在本周发表的一份分析中表示：“漏洞是由于Zimbra的防病毒引擎（Amavis）扫描入站电子邮件的方法（cpio）造成的”。

据Zimbra论坛上分享的细节，该问题据说自2022年9月初以来一直被滥用。虽然修复程序尚未发布，但该软件服务公司正在敦促用户安装“pax”实用程序并重新启动Zimbra服务。

该公司上个月表示：“如果没有安装pax包，Amavis将恢复使用cpio，不幸的是，（Amavis）的恢复实施得很差，将允许未经身份验证的攻击者在Zimbra服务器上创建和覆盖文件，包括ZimbraWebroot”。

该漏洞存在于该软件的8.8.15和9.0版本中，它会影响多个Linux发行版，如Oracle Linux 8、Red Hat Enterprise Linux 8、Rocky Linux 8和CentOS 8，但Ubuntu除外，因为默认情况下已经安装了pax。

成功利用该漏洞需要攻击者通过电子邮件将存档文件（CPIO或TAR）发送到易受攻击的服务器，然后由Amavis使用CPIO文件存档实用程序对其进行检查，以提取其内容。

Rapid7研究人员Ron Bowes表示：“由于cpio没有可以安全地用于不受信任文件的模式，攻击者可以写入Zimbra用户可以访问的文件系统上的任何路径”。“最可能的结果是攻击者在web根目录中植入一个shell，以获得远程代码执行，尽管可能存在其他途径”。

Zimbra表示，预计该漏洞将在下一个软件补丁中得到解决，这将消除对cpio的依赖，并使pax成为一项要求。然而，它并没有给出具体的修复时间。

Rapid7还指出，CVE-22-41352与CVE-22-30333“实际上完全相同”，这是今年6月早些时候曝光的RARlab unRAR实用程序Unix版本中的一个路径遍历漏洞，唯一的区别是新漏洞利用了CPIO和TAR存档格式而不是RAR。

更令人不安的是，据说Zimbra还容易受到另一个零日特权升级漏洞的攻击，该漏洞可能与cpio零日链接，以实现服务器的远程根危害。

Zimbra一直是威胁行动者的热门目标，这一事实绝非新鲜事。8月，美国网络安全和基础设施安全局（CISA）警告说，对手会利用软件中的多个缺陷破坏网络。