Exim-lek laat remote aanvallers code als root uitvoeren

[Captain Kirk]

In de populaire e-mailserversoftware Exim is een nieuw beveiligingslek ontdekt waardoor het mogelijk is voor aanvallers om op afstand code met rootrechten uit te voeren. Op minstens 183.000 systemen in Nederland draait een Exim-mailserver, zo meldt het Nationaal Cyber Security Centrum (NCSC).

Exim-servers die tls-verbindingen toestaan zijn kwetsbaar, zo blijkt uit een aankondiging op de Exim-mailinglist. De kwetsbaarheid kan bij het opzetten van de tls-verbinding met de mailserver worden misbruikt. Een oplossing die de aanval voorkomt is het niet aanbieden van tls, maar dit wordt door de Exim-ontwikkelaars afgeraden. Beheerders krijgen dan ook het advies om te updaten naar Exim 4.92.2 waarin het beveiligingslek is verholpen. Op dit moment zijn de ontwikkelaars nog niet bekend met exploits die van de kwetsbaarheid misbruik maken. Wel is er een rudimentaire proof-of-concept beschikbaar.

In juni werden nog duizenden mailservers via een ander beveiligingslek in Exim door een worm aangevallen. Microsoft besloot klanten die Exim op het Azure-cloudplatform draaiden voor deze worm te waarschuwen. Het NCSC stelt dat de kans aanwezig is dat kwaadwillenden op korte termijn misbruik van het lek zullen maken.

Een Canadees consultancybedrijf dat op 1 september bijna 888.000 mailservers analyseerde ontdekte dat Exim op 507.000 van de servers draaide, wat neerkomt op een aandeel van 57 procent. Van die servers waren er slechts 6471 die de meest recente Exim-versie gebruikten. Deze versie, 4.92.1, was vanwege een ander beveiligingslek in de software uitgekomen.

 

 

bron: security.nl