Kerentanan keamanan baru telah diungkapkan di utilitas UnRAR RARlab yang, jika berhasil dieksploitasi, dapat mengizinkan penyerang jarak jauh untuk mengeksekusi kode arbitrer pada sistem yang bergantung pada biner.
Cacat, yang diberi pengenal CVE-2022-30333, terkait dengan kerentanan jalur traversal dalam versi Unix dari UnRAR yang dapat dipicu saat mengekstrak arsip RAR yang dibuat dengan jahat.
Menyusul pengungkapan yang bertanggung jawab pada 4 Mei 2022, kekurangan tersebut diatasi oleh RarLab sebagai bagian dari versi 6.12 yang dirilis pada 6 Mei. Versi perangkat lunak lainnya, termasuk untuk sistem operasi Windows dan Android, tidak terpengaruh.
“Seorang penyerang dapat membuat file di luar direktori ekstraksi target ketika aplikasi atau pengguna korban mengekstrak arsip yang tidak dipercaya,” kata peneliti SonarSource Simon Scannell dalam laporan Selasa. “Jika mereka dapat menulis ke lokasi yang diketahui, mereka cenderung dapat memanfaatkannya dengan cara yang mengarah pada eksekusi perintah sewenang-wenang pada sistem.”
Perlu ditunjukkan bahwa perangkat lunak apa pun yang menggunakan versi UnRAR yang belum ditambal untuk mengekstrak arsip yang tidak tepercaya dipengaruhi oleh kekurangannya.
Ini juga termasuk suite kolaborasi Zimbra, di mana kerentanan dapat menyebabkan eksekusi kode jarak jauh yang telah diautentikasi sebelumnya pada instance yang rentan, memberikan penyerang akses lengkap ke server email dan bahkan menyalahgunakannya untuk mengakses atau menimpa sumber daya internal lainnya dalam jaringan organisasi.
Kerentanan, pada intinya, berkaitan dengan serangan tautan simbolik di mana arsip RAR dibuat sedemikian rupa sehingga berisi symlink yang merupakan campuran dari garis miring ke depan dan garis miring terbalik (misalkan “..\..\..\tmp/shell”) untuk melewati pemeriksaan saat ini dan mengekstraknya di luar direktori yang diharapkan.
Lebih khusus lagi, kelemahannya berkaitan dengan fungsi yang dirancang untuk mengubah garis miring terbalik (‘\’) menjadi garis miring maju (‘/’) sehingga arsip RAR yang dibuat di Windows dapat diekstraksi pada sistem Unix, secara efektif mengubah symlink yang disebutkan di atas ke “../../../tmp/shell.”
Dengan memanfaatkan perilaku ini, penyerang dapat menulis file arbitrer di mana saja pada sistem file target, termasuk membuat shell JSP di direktori web Zimbra dan menjalankan perintah berbahaya.
“Satu-satunya persyaratan untuk serangan ini adalah bahwa UnRAR diinstal di server, yang diharapkan seperti yang diperlukan untuk pemindaian virus dan pemeriksaan spam arsip RAR,” kata Scannell.
Zimbra sendiri sudah mengantisipasi pada dokumen release note “Kerentanan pada RARLAB UnRAR sebelum 6.12 telah teridentifikasi CVE-2022-30333 dan memiliki skor 7,5 – TINGGI. Zimbra telah membuat perubahan konfigurasi untuk menggunakan paket 7zip alih-alih unrar. Pelanggan diminta untuk menghapus paket unrar (jika diinstal) dan menggunakan 7zip sebagai gantinya.”
Jika para pembaca yang ingin mengetahui ataupun bertanya tentang informasi seputar zimbra untuk kebutuhan server zimbra pembaca lebih lanjut. Silahkan hubungi kami di info@rekha.co.id atau WhatsApp ke 0851-5532-4400