Mailservers actief aangevallen via beveiligingslek in Exim

[Captain Kirk]

Mailservers worden actief aangevallen via een beveiligingslek in Exim waarvoor begin deze maand een update verscheen. Dat melden verschillende beveiligingsonderzoekers op Twitter. In Nederland zouden meer dan 137.000 kwetsbare mailservers draaien, zo blijkt uit cijfers van zoekmachine Shodan.

Exim is een message/mail transfer agent (MTA) die wordt gebruikt voor het afleveren van e-mails. De software draait op 57 procent van alle mailservers wereldwijd. Via de kwetsbaarheid kan een aanvaller op afstand commando's met rootrechten uitvoeren. Aanvallers maken nu actief gebruik van het beveiligingslek om een script te uploaden dat een RSA-authenticatiesleutel aan de SSH-server toevoegt. Op deze manier kunnen de aanvallers via SSH als root inloggen en zo de server volledig overnemen.

Vervolgens wordt er een cryptominer geïnstalleerd, zo laat onderzoeker Amit Serper van securitybedrijf Cybereason in een blogpost weten. Tevens installeren de aanvallers een poortscanner die naar andere kwetsbare mailservers zoekt. Volgens Serper lopen meer dan 3,5 miljoen mailservers risico om te worden aangevallen. Beheerders krijgen het advies om de beschikbare beveiligingsupdate zo snel als mogelijk te installeren. Daarnaast kan er worden gekeken naar de aanwezigheid van de RSA-sleutel van de aanvallers.

 

 

bron: security.nl