在伺服器上安裝了Zimbra Collaboration套件的用戶留意,複數不明的APT組織利用解封加壓的工具透過安全漏洞CVE-2022-41352進行攻擊,而其中一個組織正攻擊中亞地區,以下將會講解有關安全漏洞的危險。
甚麼是安全漏洞CVE-2022-41352
有關的安全漏洞被發現在一個名為cpio的解封加壓工具之上,通常被Amavis所以用,而它正是Zimbra Collaboration套件的一部份。攻擊者可以透過製作惡意的.tar加壓檔妹,內裡含有web-shell,然後發送到正在運行存在安全漏洞Zimbra Collaboration軟件的伺服器。當Amavis開始檢查該檔案便會通知cpio工具,解封其web-shell到一個公用目錄之內,然後犯罪份子只需要啟動該web-shell和執行任意代碼,這意味著有關漏洞與較早前的文章提過的tarfile模組有關。
詳細技術內容可以瀏覽Securelist的文章,值得留意的是文章列出了攻擊者在web-shell的檔安目錄位置,而有關的安全漏洞危險之處是它被加入到Metasploit Framework上,一個理論上為保安研究和滲透測試的平台,但事車上卻是被網絡犯罪份子用作真實的攻擊,現在連新手犯罪份子也能夠使用CVE-2022-41352安全漏洞。
盡快更新或採取替補方案
在10月14日Zimbra已經釋出了補丁連同安裝說明,所以最佳的堵塞方法自然是盡快安裝最新的補丁,如果因為某些原因不能安裝補丁,官方也提出了替補方案,Amavis將會以pax代替cpio去解封.tar壓縮檔,但謹記這並非真正的解決問題,理論上攻擊者可以使用其他方法去利用cpio的漏洞。
資料來源:Kaspersky Blog
