新型Zip Slip漏洞允许攻击者在解压过程中操纵ZIP文件
漏洞原理与攻击手法
网络安全研究人员发现了一种新型Zip Slip漏洞变种,威胁行为者可以利用该漏洞攻击广泛使用的解压工具中的路径遍历缺陷。攻击者通过构造包含特殊相对路径文件名的恶意压缩包来实施攻击。当不知情的用户或自动化系统解压这些文件时,恶意文件会被写入预期解压目录之外的位置,可能覆盖关键系统或应用程序二进制文件。
实际攻击案例分析
早期报告显示,攻击者正在利用该技术在Windows和Unix系统上植入后门并提升权限。与将文件限制在子文件夹中的传统压缩包不同,这些恶意ZIP文件包含特殊条目。解压时,这些条目会绕过不完善的路径清理机制,直接将有效载荷投递到系统目录中。
最初在内部渗透测试中发现相关案例,但近期归因于RomCom APT(高级持续威胁)组织的更复杂攻击活动表明,该技术已在企业环境中被实际利用。ASEC分析人员发现,该变种利用ZIP文件头中的通用位标志来编码路径分隔符,从而逃避基于签名的扫描器检测。
技术细节剖析
在一个案例中,被入侵的电子邮件附件包含一个ZIP压缩包,当使用过时的解压工具打开时,会静默覆盖合法的启动脚本。对压缩包结构的检查显示,从偏移量0x1E开始的文件名字段包含用百分号编码的斜杠分隔的路径段,这些路径段仅在文件创建时解码。
后续逆向工程分析发现,恶意压缩包利用Python的zipfile模块将相对路径直接插入到文件名字段中。该技术利用的主要漏洞包括:
- CVE-2025-8088 - 影响7.13版本之前的WinRAR,允许通过替代数据流遍历绕过路径验证
- CVE-2025-6218 - WinRAR 7.12之前版本中的远程代码执行漏洞,在使用空格时可绕过相对路径过滤器
- CVE-2022-30333 - 针对6.12版本之前的RARLAB Unrar,通过
"../../example"路径覆盖SSH authorized_keys文件 - CVE-2018-20250 - 利用WinRAR 5.61之前版本中的ACE格式提取功能,绕过UNACEV2.dll过滤逻辑
防御建议
除了简单的文件覆盖外,该变种还支持嵌入旨在维持持久性的可执行脚本和DLL文件。通过将有效载荷写入启动文件夹或systemd服务目录,攻击者可确保系统重启后执行恶意代码。由于许多解压工具在写入前不会规范化或验证规范路径,使得检测变得更加困难。
网络安全团队建议采取以下防护措施:
- 使用具有内置路径遍历检查功能的解压库
- 在沙盒环境中强制执行解压操作
- 将工具更新至2025年8月后发布的修补版本,这些版本包含严格的目录验证例程