# CVE-2022-30333 > [!critical] Path Traversal Crítico no UnRAR para Linux - CVSS 9.8 > Vulnerabilidade de path traversal no utilitário UnRAR para Linux/Unix permite que arquivos RAR maliciosos escrevam fora do diretório de destino durante extração. Impacto crítico quando integrado a servidores de email como o Zimbra. ## Visão Geral A [[cve-2022-30333|CVE-2022-30333]] é uma vulnerabilidade de path traversal no utilitário **UnRAR** para Linux e Unix, com CVSS crítico de 9.8. Descoberta pelo pesquisador Simon Scannell (SonarSource), a falha permite que um arquivo RAR especialmente criado escreva conteúdo em caminhos arbitrários do sistema de arquivos durante a extração, sem que o usuário ou sistema perceba. O impacto mais crítico desta vulnerabilidade foi documentado em combinação com o **Zimbra Collaboration Suite**: como o Zimbra utiliza o UnRAR para escanear anexos de email, um atacante pode enviar um email com arquivo RAR malicioso para qualquer endereço do servidor Zimbra, fazendo com que um web shell JSP seja escrito automaticamente no diretório web root - sem qualquer autenticação. Esta cadeia ataque efetiva (email → RCE sem interação do usuário) foi extensamente explorada por grupos APT em 2022-2023 contra servidores Zimbra governamentais e corporativos ao redor do mundo. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Path Traversal (Arbitrary File Write) | | Componente | UnRAR - extração de arquivos RAR | | Vetor | Rede (zero-click quando integrado ao Zimbra) | | Autenticação necessária | Não (em contexto Zimbra) | | Zero-click | Sim, quando usado por servidor de email | ### Cadeia Zimbra (Zero-Click RCE) ``` Atacante envia email com RAR malicioso → Zimbra usa UnRAR para escanear anexo → UnRAR extrai arquivo para ../webapps/zimbra/cmd.jsp → Web shell acessível publicamente → RCE sem qualquer autenticação ``` O arquivo RAR pode usar o caractere `..` em nomes de arquivo internos (com symlinks em Unix) para escapar do diretório de extração temporário. ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1566-001-spearphishing-attachment\|T1566.001]] | Email com arquivo RAR malicioso | | [[t1505-003-web-shell\|T1505.003]] | Web shell escrito via path traversal | | [[t1190-exploit-public-facing-application\|T1190]] | Exploração zero-click do servidor de email | | [[t1083-file-and-directory-discovery\|T1083]] | Reconhecimento pós-shell | ## Detecção e Defesa **Mitigações:** - Atualizar UnRAR para 6.1.7 ou superior - [[m1051-update-software\|M1051]] - Atualização imediata em sistemas com UnRAR - Substituir UnRAR por alternativas open-source como `unar` ou `p7zip` - [[m1042-disable-or-remove-feature-or-program\|M1042]] - Desabilitar processamento de RAR em servidores Zimbra se não necessário - Monitorar criação de arquivos `.jsp` em diretórios web do Zimbra > [!latam] Relevância para Brasil e LATAM > Servidores Zimbra integrados ao UnRAR são prevalentes em organizações governamentais brasileiras. Esta vulnerabilidade permite comprometimento silencioso via simples envio de email - sem necessidade de phishing interativo. Qualquer servidor Zimbra com UnRAR desatualizado em organizações do governo federal, estadual ou municipal brasileiro representa risco crítico imediato. ## Referências - [SonarSource Research - CVE-2022-30333](https://www.sonarsource.com/blog/security-vulnerabilities-in-unrar/) - [NVD - CVE-2022-30333](https://nvd.nist.gov/vuln/detail/CVE-2022-30333) - [RARLAB Advisory](https://www.rarlab.com/security.htm)