聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Zimbra 公司的企业协作软件和邮件平台中存在一个严重的远程代码执行漏洞且正遭活跃利用,目前尚不存在补丁。该漏洞的编号是CVE-2022-41352。
该漏洞的CVSS评分为9.8,可导致攻击者上传任意文件并在受影响安装程序上执行恶意操作。网络安全公司Rapid7 在分析文章中指出,“该漏洞是因为Zimbra的反病毒引擎 Amavis扫描进站邮件所用的方法cpio造成的。”
从Zimbra论坛上分享的详情来看,该问题早在2022年9月初就遭利用。虽然尚不存在修复方案,但Zimbra公司督促用户安装 “pax”工具并重启 Zimbra服务。
9月份,Zimbra公司指出,“如果未安装 pax 包,则Amavis 将不得不使用cpio,遗憾的是这种回退方式实现不良,将导致未认证攻击者创建并覆写 Zimbra 服务器上的文件,包括 Zimbra webroot在内。”
该漏洞位于8.8.15和9.0版本中,影响多个 Linux 发型版本如Oracle Linux 8、Red Hat Enterprise Linux 8、Rocky Linux 8和CentOS 8,而Ubuntu由于默认安装pax包,因此不受影响。
攻击者需要将文档文件(CPIO或TAR)发送给可疑服务器,之后Amavis 使用cpio文件归档工具提取其内容,这样攻击者才能成功利用该漏洞。研究员表示,“由于cpio 不存在可在不可信文件上安全使用的欧式,因此攻击者可写到文件系统上的任意路径,遭Zimbra用户访问。最可能的结果是攻击者在webroot上植入shell,获得远程代码执行权限,不过可能也存在其它渠道。”
Zimbra 公司表示将在下个补丁日修复该漏洞,删除cpio上的依赖并要求安装pax包。然而,该公司并未给出修复方案推出的确切日期。
Rapid7 公司的安全研究员还注意到,CVE-2022-41352和CVE-2022-30333“本质上是相似的”。后者是位于RARlab unRAR工具的Unix 版本中的路径遍历漏洞,在今年6月初被发现。二者之间的唯一不同在于,CVE-2022-41352利用的文档格式是CPIO和TAR而非RAR格式。
更让人担心的是,Zimbra 据称还易受另外一个提权0day 的影响,结合利用cpio 0day,可获得服务器的远程root权限。
Zimbra 早已成为热门威胁目标。8月份,美国网络安全和基础设施安全局 (CISA) 就曾提醒称,攻击者正在利用该软件中的多个漏洞攻陷网络。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
UnRAR二进制中出现路径遍历缺陷,可导致在Zimbra上执行远程代码
Zimbra 软件曝新漏洞,发送恶意邮件即可劫持Zimbra 服务器
原文链接
https://thehackernews.com/2022/10/hackers-exploiting-unpatched-rce-flaw.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~