最后更新于2023年5月4日星期四23:23:33 GMT
注:Zimbra发布 9.0.0 P27 于2022年10月10日解决了此漏洞.
cve - 2022 - 41352 在Zimbra协作套件中发现的未修补的远程代码执行漏洞是由于 积极开发. 此漏洞是由于方法(cpio),其中Zimbra的反病毒引擎(Amavis)会扫描入站电子邮件. 津巴布韦提供了一个 解决方案,即安装 pax 实用程序并重新启动Zimbra服务. 请注意, pax 默认安装在Ubuntu上, 因此基于ubuntu的Zimbra安装在默认情况下是不容易受到攻击的.
Note: 此漏洞cve - 2022 - 41352实际上与 cve - 2022 - 30333 但利用了不同的文件格式(
.cpioand.tar而不是.rar). 它也是一个更老的(未修复的)漏洞的副产品, cve - 2015 - 1197. 而最初的cve - 2015 - 1197影响了大多数主要的Linux发行版, 我们的研究小组发现确实如此 没有可利用的 除非二级应用程序(如本例中的Zimbra)使用cpioto extract untrusted archives; therefore, this blog is only focusing on Zimbra cve - 2022 - 41352.
Rapid7已经发布了技术文档, 包括概念验证(PoC)和危害指示器(IoC)信息, 关于cve - 2022 - 41352 AttackerKB.
Background
要利用此漏洞,攻击者可以通过电子邮件发送 .cpio, .tar, or .rpm 到受影响的服务器. 当Amavis检查它是否有恶意软件时,它使用 cpio 要解压缩文件. Since cpio 没有可以安全地在不受信任的文件上使用的模式, 攻击者可以写入Zimbra用户可以访问的文件系统上的任何路径. 最可能的结果是攻击者在web根中植入shell以获得远程代码执行, 尽管可能存在其他途径.
截至10月6日, 2022, cve - 2022 - 41352未修补, 但是Zimbra已经承认依赖的风险 cpio in a 博客 他们建议采取哪些缓解措施. cve - 2022 - 41352在野外被发现的原因是 积极开发. 最近,中钢协等 已经警告 多个威胁行为者利用了津巴布韦的其他漏洞, 从逻辑上讲,威胁行为者很可能会利用这个最新的未修补漏洞, too. 今年8月,Rapid7报道了这一事件 主动利用Zimbra协作套件中的多个漏洞.
受影响的产品
请注意,随着我们对该威胁了解的更多,有关受影响版本或可利用性需求的信息可能会发生变化.
要被利用,必须存在两个条件:
- 的脆弱版本
cpio必须安装,基本上每个系统都是这样(参见 cve - 2015 - 1197) - The
pax工具必须 not 就像Amavis喜欢的那样paxandpax不是脆弱的
不幸的是, pax 在基于红帽的发行版上没有默认安装,因此它们在默认情况下是易受攻击的. 我们测试了Zimbra官方支持的所有(当前)Linux发行版的默认配置,并确定了以下内容:
| Linux发行版 | 脆弱的? |
|---|---|
| Oracle Linux 8 | 脆弱的 |
| Red Hat Enterprise Linux 8 | 脆弱的 |
| Rocky Linux 8 | 脆弱的 |
| CentOS 8 | 脆弱的 |
| Ubuntu 20.04 | 不受攻击(pax是默认安装的) |
| Ubuntu 18.04 | 不脆弱(pax已安装,cpio有Ubuntu的自定义补丁) |
Zimbra说他们的计划是消除对 cpio 完全通过制作 pax 这是Zimbra协作套件的先决条件. 搬到 pax 是最好的选择吗 cpio 不能安全地使用(因为大多数主要操作系统 删除了一个安全补丁).
修复
Zimbra于2022年10月10日发布了cve - 2022 - 41352的补丁. 补丁版本为 Zimbra协作套件9.0.0 P27. 使用Zimbra的组织应该立即更新,而不是等待常规的补丁周期.
如果您无法更新您的Zimbra版本,您可以申请 Zimbra推荐的解决方法,即安装 pax 那么,存档实用程序 重新启动Zimbra或重启. 我们强烈建议打补丁,如9.0.0 P27还解决了其他几个漏洞,包括 cve - 2022 - 37393, root权限升级.
Rapid7客户
InsightVM和expose客户可以通过10月6日发布的内容(ContentOnly-content-1.1.2667-202210061843). 此检查将识别安装了Zimbra协作套件的受影响版本的系统 pax 软件包不可用. 启用此检查不需要更改默认扫描模板.
我们的工程团队正在更新漏洞检查,以解决新发布的补丁.
Updates
2022年10月6日,美国东部时间下午3:30 更新以包含新发布的针对cve - 2022 - 41352的InsightVM/ expose检查的信息.
2022年10月11日: Zimbra发布了Zimbra协作套件9.0.0 P27,以解决此漏洞以及其他安全问题. 我们的工程团队正在更新我们的漏洞检查,以解决补丁问题.
