2 min Security

Honderdduizenden mailservers kwetsbaar door bug in Exim (update)

Honderdduizenden mailservers kwetsbaar door bug in Exim (update)

Honderdduizenden servers die de Exim mail transfer agent (MTA)-software draaien, zijn uiterst kwetsbaar voor remote code execution-aanvallen.

Update 3 oktober (Erik van Klinken): inmiddels heeft de ontwikkelaar van Exim drie van de zes bestaande zero-day kwetsbaarheden opgelost.

De aangetroffen kwetsbaarheid, ontdekt door Trend Micro, is een zogenoemde ‘Out-of-bounds Write’-kwetsbaarheid in de SMTP-dienst. De kwetsbaarheid kan bij een succesvolle exploit leiden tot software crashes of datacorruptie. Daarnaast kunnen hackers hiermee op afstand kwaadaardige code draaien op getroffen servers.

Het probleem wordt hierbij veroorzaakt door een slechte validatie van de door de gebruikers aangeleverde data. Dit kan een ‘write past’ genereren aan het eind van een buffer. Hackers kunnen de kwetsbaarheid uitbuiten door code te draaien in de context van de service account.

Nog geen patch

De kwetsbaarheid werd al in juni 2022 door securityexperts ontdekt en aan leveranciers van met MTA-software uitgeruste servers, Exim, doorgegeven. Uit een verzoek aan de leverancier over de voortgang van het patchproces uit mei dit jaar blijkt dat de softwareontwikkelaar geen update kon geven. Dat heeft het nu (gedeeltelijk) gedaan.

Afgelopen maand heeft Trend Micro daarom het probleem openbaar gemaakt, inclusief de contactgeschiedenis met Exim over het probleem.

Serieus probleem

Dat Exim niets doet aan het fixen van de kwetsbaarheid is een serieus probleem. Sinds 2019 heeft de MTA-software al te maken met een bug CVE-2019-10149, vooral misbruikt door de Russische hackers van Sandworm, en de belangrijkheid van de software voor (mail)servers.

Exim is de standaard MTA-software op Debian Linux-distributies en de meest gebruikte MTA-software ter wereld. Het zou betekenen dat momenteel honderdduizenden mailservers kwetsbaar zijn.

Zolang er geen voledige patch is, moeten beheerders ervoor zorgen dat remote access tot de servers is uitgeschakeld.

Tip: Google stopt begin 2024 HTML-weergave Gmail