Miljoenen Exim-mailservers kwetsbaar voor exploit met root-toegang

Een beveiligingslek in de populaire Exim-mailserversoftware stelt hackers in staat kwaadaardige code te installeren met root-privileges. De kwetsbaarheid is te vinden in álle versies van Exim, inclusief 4.92.1.

De ontwikkelaar van de gratis opensourcesoftware heeft afgelopen vrijdagavond versie 4.92.2 vrijgegeven om het beveiligingslek (CVE-2019-15846) te verhelpen.

Het lek werd eind juli ontdekt door een beveiligingsonderzoeker, die luistert naar de naam Zerons. De onderzoeker kwam erachter dat hackers misbruik kunnen maken van de TLS ServerName Indicator, een functie waarmee TLS verschillende certificaten voor verschillende websites kan aanbieden, aldus Silicon Angle.

Zo zou een aanvaller een buffer overflow kunnen forceren om toegang te krijgen tot een server waarop Exim wordt uitgevoerd. Zowel GnuTLS als OpenSSL zouden getroffen worden, omdat het beveiligingslek niet afhankelijk is van de server. “Het beveiligingslek kan worden misbruikt door een SNI te verzenden die eindigt in een backslash-null-reeks tijdens de eerste TLS-handshake”, aldus de beveiligingsadviezen.

Populaire software

Exim is populair en wordt gebruikt op zo’n 57 procent van alle publieke e-mailservers op internet. De software is in eerste instantie ontworpen voor Unix-servers, maar inmiddels beschikbaar voor Linux en Windows. Bovendien is Exim gebundeld met een hele reeks Linux-distributies, van Debian tot Red Hat.

Terwijl de oplossing vanachter de schermen opereert, stuurt Exim e-mail aan in cPanel. Het is een zogeheten mail transfer agent (MTA), die wordt gebruikt op de achtergrond van e-mailservers. Hoewel e-mailservers vaak berichten verzenden of ontvangen, fungeren ze ook als relais voor e-mails van anderen.

Het is raadzaam Exim-installaties bij te werken met de laatste versie. Exim-beheerders zouden hulp bieden waar nodig. “Als je de bovenstaande versies niet kan installeren, vraag dan jouw pakketbeheerder om een versie met de backported-fix. Op verzoek en afhankelijk van onze middelen willen we je ondersteunen bij het backporteren van de fix”, aldus het Exim-team.

Gerelateerd: Linux-worm infecteert Exim-e-mailservers en neemt ongepatchte systemen over