قد تسمح ثغرة UnRAR الجديدة للمهاجمين باختراق خوادم بريد الويب Zimbra


تم الكشف عن ثغرة أمنية جديدة في الأداة المساعدة UnRAR الخاصة بـ RARlab والتي، إذا تم استغلالها بنجاح، يمكن أن تسمح لمهاجم بعيد بتنفيذ تعليمات برمجية عشوائية على نظام يعتمد على النظام الثنائي.

الخلل، الذي تم تعيينه CVE-2022-30333، يتعلق بثغرة اجتياز المسار في إصدارات Unix من UnRAR والتي يمكن تشغيلها عند استخراج أرشيف RAR تم إنشاؤه بشكل ضار.

بعد الكشف المسؤول في 4 مايو 2022، عالجت RarLab العيب كجزء من الإصدار 6.12 الذي تم إصداره في 6 مايو. لم تتأثر الإصدارات الأخرى من البرنامج، بما في ذلك تلك الخاصة بأنظمة تشغيل Windows و Android.

تجدر الإشارة إلى أن أي برنامج يستخدم إصدارًا غير مصحح من UnRAR لاستخراج أرشيفات غير موثوق بها يتأثر بالخلل.

يتضمن هذا أيضًا مجموعة Zimbra التعاونية، حيث يمكن أن تؤدي الثغرة الأمنية إلى تنفيذ تعليمات برمجية عن بُعد تمت مصادقتها مسبقًا على مثيل ضعيف، مما يمنح المهاجم وصولاً كاملاً إلى خادم البريد الإلكتروني وحتى إساءة استخدامه للوصول إلى الموارد الداخلية الأخرى أو الكتابة فوقها داخل شبكة المؤسسة.

تتعلق الثغرة، في جوهرها، بهجوم ارتباط رمزي يتم فيه إنشاء أرشيف RAR بحيث يحتوي على رابط رمزي يمثل مزيجًا من الشرطات المائلة الأمامية والخلفية (على سبيل المثال ، ".. \ .. \ .. \ tmp / shell ") لتجاوز عمليات التحقق الحالية واستخراجها خارج الدليل المتوقع.

بشكل أكثر تحديد، يتعلق الضعف بوظيفة مصممة لتحويل الخطوط المائلة العكسية ('\') إلى خطوط مائلة للأمام ('/') بحيث يمكن استخراج أرشيف RAR الذي تم إنشاؤه على Windows على نظام Unix، مما يؤدي إلى تغيير الارتباط الرمزي المذكور بشكل فعال إلى "../../../tmp/shell."

من خلال الاستفادة من هذا السلوك، يمكن للمهاجم كتابة ملفات عشوائية في أي مكان على نظام الملفات الهدف، بما في ذلك إنشاء قذيفة JSP في دليل الويب الخاص بـ Zimbra وتنفيذ أوامر ضارة.

وأشار الباحث SonarSource Simon Scannell إلى أن "المطلب الوحيد لهذا الهجوم هو تثبيت UnRAR على الخادم، وهو أمر متوقع لأنه مطلوب لفحص الفيروسات في أرشيف RAR وفحص البريد العشوائي".

شكرا لك ولمرورك