UnRAR二进制中出现路径遍历缺陷，可导致在Zimbra上执行远程代码

UnRAR 工具用于将RAR文档提取到临时库中，用于扫描病毒和检查垃圾邮件。然而，最近修复的文件写入缺陷 (CVE-2022-30333，CVSS 评分7.5) 意味着未认证攻击者能够“在应用程序或受害者用户提取不受信任的文档时，在目标提取目录之外创建文件。”如果恶意黑客设法写入已知地址，则可能在系统上执行任意命令。

Sonar 公司的研究员在开源邮件平台 Zimbra 上成功利用该高危缺陷，“可导致攻击者访问发出的以及从受陷邮件服务器上接收到的每份邮件”。该开源邮件平台由20多万家企业在使用。同时，攻击者可静默在登录功能上安装后门并窃取用户凭据，以及提升对组织机构其它内部服务的访问权限。

该缺陷位于 UnRAR的机制中，用于阻止在 Unix 系统上的符号链接攻击。在该系统上，用于验证相关符号链接的函数 IsRelativeSymLinkSafe() 检查该符号链接目标中在 Unix 上是否包含 ../或在Windows 上是否包含 ..\。

不过，由于有时候不受信任的输入被验证后会遭修改，从而打破在验证步骤所做的假设，因此上述检查可能会被忽视。具体而言，该符号链接经验证后，UnRAR 通过 DosSlashToUnix() 将反斜杠 (\) 转变为斜杠 (/)，确保在Windows 上创建的RAR文档可从Unix系统上提取。研究人员指出，“通过利用这一行为，攻击者可在目标文件系统上写入文件”。

研究人员指出，由于Zimbra使用Amavis 内容过滤器来分析以 Zimbra 用户身份运营的已提取文件，因此该文件写入原语也可导致在其它服务的工作目录中创建并覆写文件。

研究人员详述了攻击者如何使用基于文件的命令注入或创建一个SSH密钥，将一个 JSP shell 写入 web 目录，在 Zimbra 上实现RCE。

研究员在2022年5月4日将该缺陷告知 RarLab，后者已在5月6日所发布版本 6.12 二进制中包含安全补丁。Zimbra 公司的开发者 Synacor 也在5月4日发布相关警报，提醒用户修复云实例。

仅有 Unix 二进制（不包括Android）和使用 RarLab 代码的实现受影响。

Sonar 公司的研究员称赞 RarLab 开发者“非常快速和专业地处理了该问题”以及 Zimbra 安全团队“提醒客户帮助阻止漏洞利用”的行为。

研究员曾在去年发现一个漏洞链可导致 Zimbra 服务器攻陷，一个XSS缺陷可导致鱼叉式钓鱼攻击，以及在两周前曾发现一个缓存注入漏洞可窃取登录凭据。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。