CVE-2022-41352

Суть уязвимости

CVE-2022-41352 — это критическая уязвимость (CVSS 9.8), связанная с небезопасной обработкой архивов при сканировании вложений антивирусом Amavis. Проблема возникает из-за использования утилиты cpio для распаковки входящих писем.

Злоумышленник может отправить специально сформированное электронное письмо с вложением в формате .cpio, .tar или .rpm. Если на сервере установлена утилита pax, но отсутствует pax (или приоритет отдан cpio), атакующий может использовать технику Path Traversal для записи произвольных файлов в любую директорию файловой системы от имени пользователя zimbra. Это позволяет загрузить веб-шелл в публичную директорию веб-сервера и получить полный контроль над узлом (RCE).

Как исправить

Основным способом устранения уязвимости является обновление Zimbra Collaboration Suite до версий, в которых изменен механизм обработки архивов и добавлены проверки безопасности.

1. Обновите систему до следующих версий (или выше):
2. ZCS 9.0.0 Patch 27

3. ZCS 8.8.15 Patch 34

4. Для установки обновлений выполните команды:

apt update && apt upgrade

Или для систем на базе RHEL:

yum update

1. После обновления пакетов перезапустите сервисы Zimbra:

su - zimbra -c "zmcontrol restart"

Временные меры

Если немедленное обновление системы невозможно, необходимо устранить корень проблемы — использование утилиты cpio компонентом Amavis. Уязвимость эксплуатируется только в том случае, если утилита pax отсутствует в системе, так как Amavis отдает предпочтение pax перед cpio.

1. Установите пакет pax на сервер.

Для Ubuntu/Debian:

apt install pax

Для RHEL/CentOS:

yum install pax

1. Перезапустите сервисы Zimbra, чтобы Amavis начал использовать pax для обработки архивов:

su - zimbra -c "zmcontrol restart"

1. Проверьте наличие веб-шеллов в директориях Zimbra (превентивная мера):

find /opt/zimbra/jetty/webapps/ -name "*.jsp"