Zimbra Collaboration Suite 的远程代码执行漏洞分析

关键要点

• Zimbra Collaboration Suite 存在一个未修复的严重远程代码执行漏洞（CVE-2022-41352），评分为 9.8，已被确认在野外被主动利用。
• 研究人员指出，由于多个威胁行为者正在利用 Zimbra 中的其他漏洞，因此他们很可能会转向利用这个新的未修复漏洞。
• 漏洞源于 Zimbra 的 antivirus 引擎使用 cpio 工具扫描入站电子邮件，c丢工具存在缺陷，允许黑客创建可以访问 Zimbra 中任意文件的压缩文件。
• 推荐用户在易受攻击的系统上安装 pax 工具，以降低风险并重启邮件服务器。

在近期的研究中，安全专家对 Zimbra Collaboration Suite 中未修复的严重远程代码执行 (RCE) 漏洞提供了更多的见解。这个漏洞
(CVE-2022-41352) 的风险评分高达 9.8，Zimbra 在九月中旬首次公开承认该漏洞已在网络中被积极利用。

根据 Rapid7 研究人员在
的说法，由于 和其他组织最近警告称多个威胁行为者在利用 Zimbra 中的其他漏洞，因此这些攻击者极有可能“逻辑性地转向利用”
CVE-2022-41352 这个最新的未修复漏洞。

Rapid7 的研究人员解释称，该漏洞的产生是因为 Zimbra 的 antivirus 引擎使用 cpio 工具来扫描入站电子邮件。cpio工具存在缺陷，黑客可以利用这一缺陷创建一个压缩文件，以访问 Zimbra 中的任何文件。Zimbra 的研究人员于 9 月 14 日在其
上发布了一个临时解决方案，建议用户安装 pax 工具，并重启 Zimbra 服务以降低风险。

Netenrich 的首席威胁猎手 John Bambenek 解释说，这个漏洞通过发送一个恶意的压缩档案文件 (.cpio, .tar, 或 .rpm)
实现，黑客可以利用这个文件覆盖系统文件，而这一过程是借助正在运行的 Zimbra 服务的权限完成的。他表示，该漏洞依赖于 cpio 和一个未修复的漏洞，因此
Zimbra 计划使用更安全的替代方案。

Bambenek 强调，“由于邮件服务器本质上接收来自互联网的不受信任的通信，所有安装，特别是在基于 Red Hat的操作系统上的安装，都容易受到攻击者的影响，他们可以简单地发送消息并在文件系统上放置文件。”他建议受影响的用户在易受攻击的系统上安装 pax工具，并通过重启邮件服务器来缓解威胁。