Onderzoekers vinden 5 miljoen Exim-mailservers op internet

[Captain Kirk]

Onderzoekers hebben op internet 5 miljoen Exim-mailservers aangetroffen waarvan een onbekend aantal kwetsbaar is. Exim is zeer populaire mailserversoftware. Vorige week werd er in Exim een ernstige kwetsbaarheid gepatcht waardoor aanvallers op afstand code met rootrechten kunnen uitvoeren.

Exim-lekken zijn in het verleden vaker het doelwit van criminelen geweest en kort na het verschijnen van de recente Exim-update werd bekend dat Exim-mailservers via een ouder lek uit juni met malware werden geïnfecteerd. Securitybedrijf Rapid7 besloot een scan op internet uit te voeren om te zien hoeveel Exim-mailservers er online zijn. Er werden meer dan 5 miljoen Exim-servers gevonden. Van meer dan 4,5 miljoen servers kon de versie worden vastgesteld.

Zo'n 3,2 miljoen van de servers (73 procent) draaiden op Exim-versie 4.92.0. "Dit is goed nieuws, omdat het laat zien dat de meeste organisaties die Exim-servers draaien het up-to-date houden van deze belangrijke serversoftware prioriteit geven", zegt Bob Rudis van Rapid7. Rudis verwacht dan ook dat deze servers bij een volgende scan de laatste versie zullen draaien.

Vorige week verscheen Exim 4.92.2. Eind juli was vanwege een andere kwetsbaarheid versie 4.92.1 uitgebracht. Dit versienummer komt echter niet voor in de scan van Rapid7. Eerder stelde het Canadese consultancybedrijf E-Soft op basis van 507.000 gescande Exim-mailservers dat de meeste servers één versienummer achterliepen. 74 procent van de Exim-servers die het bedrijf op 1 september scande draaide versie 4.92.0. Bijna hetzelfde percentage als de scan van Rapid7 laat zien. Versie 4.92.1 werd op slechts 1,3 procent van de servers aangetroffen.

Dat wil niet zeggen dat de andere mailservers per definitie kwetsbaar zijn. Het is mogelijk om Exim-fixes te backporten, zodat de server is beschermd zonder de laatste versie te draaien. Het totale aantal kwetsbare Exim-servers is dan ook moeilijk vast te stellen. Wel krijgen beheerders het advies om de beschikbare update te installeren. "Actief misbruik is op dit moment nog niet waargenomen, maar de kans is aanwezig dat er op korte termijn misbruik gemaakt gaat worden door kwaadwillenden", aldus het Nationaal Cyber Security Centrum (NCSC).

 

 

bron: security.nl