Duizenden mailservers kwetsbaar door beveiligingslek in Exim

[Captain Kirk]

Duizenden mailservers op internet zijn kwetsbaar door een beveiligingslek in Exim, een message/mail transfer agent (MTA). De software, die wordt gebruikt voor het afleveren van e-mails, draait volgens statistieken op 507.000 mailservers, wat neerkomt op 57 procent van het totale aantal mailservers.

Onderzoekers van securitybedrijf Qualys ontdekten een kwetsbaarheid in Exim waardoor een aanvaller op afstand commando's met rootrechten op de mailserver kan uitvoeren. Het beveiligingslek is direct door een lokale aanvaller te misbruiken. In bepaalde configuraties is de kwetsbaarheid ook op afstand aan te vallen. In deze gevallen moet een aanvaller 7 dagen lang de verbinding met de kwetsbare server openhouden, waarbij er elke paar minuten een byte wordt verstuurd.

"Vanwege de enorme complexiteit van Exims code, kunnen we niet garanderen dat deze aanvalsmethode uniek is, er kunnen snellere methoden bestaan", aldus Qualys. Het beveiligingslek is aanwezig in versie 4.87 tot en met 4.91. Versie 4.87 verscheen op 6 april 2016, wat inhoudt dat mailservers jarenlang kwetsbaar zijn geweest. Het probleem is niet aanwezig in versie 4.92, die op 10 februari van dit jaar uitkwam. Ondanks de beschikbaarheid van deze versie draaien 396.000 van de 507.000 Exim-servers nog de kwetsbare versie 4.91.

De ontwikkelaars van Exim laten weten dat er nog geen aanwijzingen zijn dat de kwetsbaarheid actief wordt aangevallen. De beschikbare patch zal nu worden gebackport naar alle versies die sinds 4.87 zijn uitgekomen, waaronder ook versie 4.87. Volgens de ontwikkelaars hangt de impact van de kwetsbaarheid af van de Exim-configuratie. Hoe dichter die bij de standaardconfiguratie ligt, des te beter, aldus de ontwikkelaars.

 

 

bron: security.nl