الثغرات ›

CVE-2022-30333

حرج 🇺🇸 CISA KEV ⚡ اختراق متاح

RARLAB UnRAR Directory Traversal Vulnerability — RARLAB UnRAR on Linux and UNIX contains a directory traversal vulnerability, allowing an attacker to write to files during an extract (unpack) operatio

                    نُشر: Aug 9, 2022                                          ·  المصدر: CISA_KEV                

CVSS v3

9.0

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

🤖 ملخص AI

CVE-2022-30333 is a critical directory traversal vulnerability in RARLAB UnRAR affecting Linux and UNIX systems, allowing attackers to write arbitrary files outside the intended extraction directory during unpack operations. With a CVSS score of 9.0 and publicly available exploits, this vulnerability poses an immediate threat to organizations using UnRAR for automated archive processing. Successful exploitation could lead to system compromise, malware injection, and unauthorized file modification across Saudi critical infrastructure.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 21, 2026 21:49

🇸🇦 التأثير على المملكة العربية السعودية

This vulnerability poses severe risk to Saudi organizations across multiple sectors: (1) Banking/SAMA-regulated entities processing customer documents and transaction archives; (2) Government agencies (NCA, CITC) handling classified and administrative documents; (3) Healthcare providers (MOH, private hospitals) managing patient records in RAR format; (4) Energy sector (ARAMCO, SEC) processing technical documentation; (5) Telecommunications (STC, Mobily, Zain) managing network configuration backups; (6) Critical infrastructure operators using automated archive extraction. The vulnerability is particularly dangerous in automated workflows where UnRAR processes untrusted archives without user interaction.

🏢 القطاعات السعودية المتأثرة

Banking and Financial Services (SAMA-regulated) Government and Public Administration (NCA, CITC) Healthcare (MOH, private hospitals) Energy and Utilities (ARAMCO, SEC) Telecommunications (STC, Mobily, Zain) Critical Infrastructure Operators Defense and Security Agencies

🎯 تقنيات MITRE ATT&CK

T1190 - Exploit Public-Facing Application T1566 - Phishing (malicious RAR attachment) T1547 - Boot or Logon Autostart Execution (via file write to startup directories) T1574 - Hijack Execution Flow (via library injection) T1036 - Masquerading (writing files with legitimate names) T1105 - Ingress Tool Transfer (via archive extraction) T1059 - Command and Scripting Interpreter (post-exploitation)

⚖️ درجة المخاطر السعودية (AI)

9.2

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Identify all systems running RARLAB UnRAR using: find / -name 'unrar' -o -name 'unar' 2>/dev/null and rpm -qa | grep unrar (RHEL/CentOS) or dpkg -l | grep unrar (Debian/Ubuntu)

2. Disable automated archive extraction services immediately if not critical

3. Implement strict file upload restrictions and validate archive sources

PATCHING GUIDANCE:

1. Update RARLAB UnRAR to version 6.1.7 or later from official sources (www.rarlab.com)

2. For RHEL/CentOS: yum update unrar

3. For Debian/Ubuntu: apt-get update && apt-get install --only-upgrade unrar

4. Verify patch installation: unrar -v | grep version

COMPENSATING CONTROLS (if immediate patching not possible):

1. Run UnRAR in isolated containers/chroot jails with restricted filesystem permissions

2. Extract archives to dedicated temporary directories with strict ownership (chmod 700)

3. Implement AppArmor/SELinux profiles restricting UnRAR write operations to designated directories

4. Use file integrity monitoring (AIDE, Tripwire) on critical system directories

5. Disable UnRAR processing of archives from untrusted sources

DETECTION RULES:

1. Monitor for UnRAR processes with unusual file write patterns outside extraction directories

2. Alert on UnRAR writing to /etc, /usr/bin, /usr/lib, /root, /home directories

3. Log all UnRAR invocations with source archive path and extraction destination

4. Detect symlink creation within RAR archives using: strings archive.rar | grep -E '^\.\./'

5. Monitor system calls: strace -e openat,write unrar x archive.rar

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. تحديد جميع الأنظمة التي تقوم بتشغيل RARLAB UnRAR باستخدام: find / -name 'unrar' -o -name 'unar' 2>/dev/null و rpm -qa | grep unrar (RHEL/CentOS) أو dpkg -l | grep unrar (Debian/Ubuntu)

2. تعطيل خدمات استخراج الأرشيفات الآلية فوراً إذا لم تكن حرجة

3. تنفيذ قيود صارمة على تحميل الملفات والتحقق من مصادر الأرشيفات

إرشادات التصحيح:

1. تحديث RARLAB UnRAR إلى الإصدار 6.1.7 أو أحدث من المصادر الرسمية (www.rarlab.com)

2. لـ RHEL/CentOS: yum update unrar

3. لـ Debian/Ubuntu: apt-get update && apt-get install --only-upgrade unrar

4. التحقق من تثبيت التصحيح: unrar -v | grep version

الضوابط البديلة (إذا لم يكن التصحيح الفوري ممكناً):

1. تشغيل UnRAR في حاويات معزولة/chroot مع أذونات نظام ملفات مقيدة

2. استخراج الأرشيفات إلى دلائل مؤقتة مخصصة بملكية صارمة (chmod 700)

3. تنفيذ ملفات تعريف AppArmor/SELinux تقيد عمليات كتابة UnRAR إلى الدلائل المعينة

4. استخدام مراقبة سلامة الملفات (AIDE, Tripwire) على الدلائل الحرجة للنظام

5. تعطيل معالجة UnRAR للأرشيفات من مصادر غير موثوقة

قواعد الكشف:

1. مراقبة عمليات UnRAR بأنماط كتابة ملفات غير عادية خارج دلائل الاستخراج

2. التنبيه على UnRAR الكتابة إلى دلائل /etc و /usr/bin و /usr/lib و /root و /home

3. تسجيل جميع استدعاءات UnRAR مع مسار الأرشيف المصدر ودليل الاستخراج

4. الكشف عن إنشاء الروابط الرمزية داخل أرشيفات RAR باستخدام: strings archive.rar | grep -E '^\.\./'

5. مراقبة استدعاءات النظام: strace -e openat,write unrar x archive.rar

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC 2024 A.12.6.1 - Management of technical vulnerabilities ECC 2024 A.12.2.1 - Change management procedures ECC 2024 A.14.2.1 - Secure development policy ECC 2024 A.12.3.1 - Segregation of development, test and production environments

🔵 SAMA CSF

SAMA CSF ID.BE-5.1 - Cybersecurity risk management strategy SAMA CSF PR.IP-12 - Software, firmware, and information integrity mechanisms SAMA CSF DE.CM-8 - Vulnerability scans are performed SAMA CSF RS.MI-2 - Incidents are mitigated

🟡 ISO 27001:2022

ISO 27001:2022 A.12.2.1 - Change management ISO 27001:2022 A.12.6.1 - Management of technical vulnerabilities ISO 27001:2022 A.14.2.1 - Secure development policy ISO 27001:2022 A.8.1.1 - Inventory of assets

🟣 PCI DSS v4.0

PCI DSS 6.2 - Ensure all system components and software are protected from known vulnerabilities PCI DSS 11.2 - Perform quarterly vulnerability scans

🔗 المراجع والمصادر 0

لا توجد مراجع.

📦 المنتجات المتأثرة 1 منتج

RARLAB:UnRAR

📊 CVSS Score

9.0

/ 10.0 — حرج

📋 حقائق سريعة

الخطورة حرج

CVSS Score9.0

EPSS92.80%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

CISA KEV🇺🇸 Yes

تاريخ الإصلاح2022-08-30

تاريخ النشر 2022-08-09

المصدر cisa_kev

المشاهدات 4

🇸🇦 درجة المخاطر السعودية

9.2

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

kev actively-exploited ransomware

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2022-30333

عرّفنا بنفسك

تسجيل الدخول مطلوب