Es wurde eine neue Sicherheitslücke im RARlab-Dienstprogramm UnRAR entdeckt, die es einem Angreifer ermöglicht, beliebigen Code auf einem System auszuführen, das auf die Binärdatei angewiesen ist.
Die Schwachstelle mit der Kennung CVE-2022-30333 bezieht sich auf eine Path Traversal-Schwachstelle in den Unix-Versionen von UnRAR, die beim Extrahieren eines bösartig gestalteten RAR-Archivs ausgelöst werden kann.
Nachdem die Schwachstelle am 4. Mai 2022 bekannt wurde, hat RarLab sie in der am 6. Mai veröffentlichten Version 6.12 behoben. Andere Versionen der Software, einschließlich der Versionen für die Betriebssysteme Windows und Android, sind davon nicht betroffen.
„Ein Angreifer kann Dateien außerhalb des Zielverzeichnisses erstellen, wenn eine Anwendung oder ein Benutzer ein nicht vertrauenswürdiges Archiv extrahiert“, so SonarSource-Forscher Simon Scannell in einem Bericht vom Dienstag. „Wenn sie in ein bekanntes Verzeichnis schreiben können, sind sie wahrscheinlich in der Lage, es so zu nutzen, dass sie beliebige Befehle auf dem System ausführen können.
Es ist erwähnenswert, dass jede Software, die eine ungepatchte Version von UnRAR verwendet, um nicht vertrauenswürdige Archive zu extrahieren, von der Sicherheitslücke betroffen ist.
Dazu gehört auch die Zimbra Collaboration Suite, bei der die Schwachstelle zu einer vorauthentifizierten Remotecodeausführung auf einer verwundbaren Instanz führen kann, wodurch der Angreifer vollständigen Zugriff auf einen E-Mail-Server erhält und diesen sogar dazu missbrauchen kann, auf andere interne Ressourcen im Netzwerk des Unternehmens zuzugreifen oder diese zu überschreiben.
Die Schwachstelle bezieht sich im Kern auf einen symbolischen Link-Angriff, bei dem ein RAR-Archiv so gestaltet wird, dass es einen Symlink enthält, der sowohl aus Schrägstrichen als auch aus umgekehrten Schrägstrichen besteht (z. B. „..\..\..\tmp/shell“), um die aktuellen Prüfungen zu umgehen und es außerhalb des erwarteten Verzeichnisses zu entpacken.
Genauer gesagt hat die Schwachstelle mit einer Funktion zu tun, die Backslashes („\“) in Schrägstriche („/“) umwandelt, damit ein unter Windows erstelltes RAR-Archiv auf einem Unix-System extrahiert werden kann, wodurch der oben genannte Symlink in „../../../tmp/shell“ geändert wird.
Indem er dieses Verhalten ausnutzt, kann ein Angreifer beliebige Dateien an beliebiger Stelle im Zimbra-Dateisystem schreiben, einschließlich der Erstellung einer JSP-Shell im Zimbra-Webverzeichnis, und bösartige Befehle ausführen.
„Die einzige Voraussetzung für diesen Angriff ist, dass UnRAR auf dem Server installiert ist, was zu erwarten ist, da es für die Viren- und Spam-Überprüfung von RAR-Archiven benötigt wird“, so Scannell.