Zimbra Collaboration Suite 的远程代码执行漏洞分析

关键要点

在近期的研究中，安全专家对 Zimbra Collaboration Suite 中未修复的严重远程代码执行 (RCE) 漏洞提供了更多的见解。这个漏洞 (CVE202241352) 的风险评分高达 98，Zimbra 在九月中旬首次公开承认该漏洞已在网络中被积极利用。

根据 Rapid7 研究人员在 博客中 的说法，由于 CISA 和其他组织最近警告称多个威胁行为者在利用 Zimbra 中的其他漏洞，因此这些攻击者极有可能“逻辑性地转向利用” CVE202241352 这个最新的未修复漏洞。

Rapid7 的研究人员解释称，该漏洞的产生是因为 Zimbra 的 antivirus 引擎使用 cpio 工具来扫描入站电子邮件。cpio 工具存在缺陷，黑客可以利用这一缺陷创建一个压缩文件，以访问 Zimbra 中的任何文件。Zimbra 的研究人员于 9 月 14 日在其 博客 上发布了一个临时解决方案，建议用户安装 pax 工具，并重启 Zimbra 服务以降低风险。

Netenrich 的首席威胁猎手 John Bambenek 解释说，这个漏洞通过发送一个恶意的压缩档案文件 (cpio tar 或 rpm) 实现，黑客可以利用这个文件覆盖系统文件，而这一过程是借助正在运行的 Zimbra 服务的权限完成的。他表示，该漏洞依赖于 cpio 和一个未修复的漏洞，因此 Zimbra 计划使用更安全的替代方案。

Bambenek 强调，“由于邮件服务器本质上接收来自互联网的不受信任的通信，所有安装，特别是在基于 Red Hat 的操作系统上的安装，都容易受到攻击者的影响，他们可以简单地发送消息并在文件系统上放置文件。”他建议受影响的用户在易受攻击的系统上安装 pax 工具，并通过重启邮件服务器来缓解威胁。