Sicherheitsforscher warnen davor, dass Angreifer aus der Ferne Exim-Mailserver übernehmen könnten. Ein Sicherheitsupdate ist schon länger verfügbar.

Der weit verbreitete Mail Transfer Client Exim ist verwundbar. Lokal sollen Angreifer die Sicherheitslücke (CVE-2019-10149) trivial ausnutzen können, um Kontrolle über Mailserver zu bekommen. Es sind aber auch Attacken über das Internet möglich.

In einem Beitrag warnen Sicherheitsforscher von Qualys, dass alle Versionen ab 4.87 angreifbar sind. Eventuell könnten ihnen zufolge auch vorige Ausgaben betroffen sein. Admins sollten die abgesicherte Version 4.92 zügig installieren. Diese erschien bereits im Februar 2019 – zu diesem Zeitpunkt war aber noch unklar, dass die Entwickler die Schwachstelle in dieser Ausgabe geschlossen haben.

Einer aktuellen Auswertung zufolge kommt Exim auf fast 60 Prozent aller öffentlich erreichbaren Mailserver zum Einsatz. Den Bedrohungsgrad der Lücke haben die Sicherheitsforscher nicht eingestuft. Aufgrund einer möglichen Kompromittierung von Mailservern aus der Ferne ist davon auszugehen, dass das Risiko als "kritisch" gilt.

Triviale Attacken
In der Default-Konfiguration sollen lokale Angreifer die Lücke mit vergleichsweise wenig Aufwand ausnutzen können. Angriffe aus der Ferne seien aufwendiger. Dafür müssten Angreifer Qualys zufolge für sieben Tage eine Verbindung zu einem verwundbaren Exim-Server halten und alle paar Minuten ein Byte übermitteln. Mit abweichenden Konfigurationen oder alternativen Herangehensweisen könnten Attacken über das Internet aber auch simpler ausfallen.

Klappt eine Attacke, sollen Angreifer eigene Kommandos mit Root-Rechten auf Mailservern ausführen können. Dadurch soll eine komplette Übernahme möglich sein. Weitere Details zu der Sicherheitslücke beschreiben die Sicherheitsforscher in ihrem Beitrag.

Qualys hat die Lücke "Return of the WIZard" getauft, da sie an Schwachstellen aus den 90er Jahren im Sendmail-Mailserver in den Kommandos WIZ und DEBUG erinnert.

Quelle: Gefährliche Sicherheitslücke in Exim gefährdet Hunderttausende Mailserver | heise online

Jetzt patchen! Weltweit immer noch mehr als 1 Millionen Exim-Server attackierbar

Die National Security Agency (NSA) warnt vor Attacken auf Exim-Mailserver. Sicherheitsupdates sind schon länger verfügbar.

Admins, die Mailserver mit Exim betreiben, sollten zügig mindestens die Version 4.92.3 installieren. Derzeit haben Angreifer drei kritische Sicherheitslücken im Visier und attackieren Server. Klappen Attacken, könnten Angreifer Schadcode mit Root-Rechten ausführen.

Die drei als kritisch eingestuften Lücken wurden im Laufe des Jahrs 2019 bekannt. Zwischen September und Oktober erschienen Sicherheitsupdates. Diese haben aber offensichtlich noch nicht alle Admins installiert. Das sollte nun umgehend geschehen.

Exim-Server in Deutschland
Exim ist weit verbreitet. Einem aktuellen Report von Security Space zufolge kommt der Mail Transfer Agent auf knapp 58 Prozent der öffentlich im Internet erreichbaren Mailserver zum Einsatz.

Die Suchmaschine Shodan fördert zutage, dass es weltweit noch mehr als 1 Million Mailserver mit der verwundbaren Version 4.92 gibt. Davon steht der Großteil in den USA. Mehr als 32.000 Server sind in Deutschland angesiedelt.

Es tut sich aber durchaus was: Im November 2019 kam die angreifbare Version noch auf mehr als 3 Millionen Mailservern zum Einsatz.

Gefährliche Attacken
Aktuell warnt die National Security Agency (NSA) vor Attacken, die sie Russland zuschreiben. Die kritische Lücke (CVE-2019-10149) soll sich vergleichsweise trivial ausnutzen lassen. Attacken ohne Authentifizierung aus der Ferne sind vorstellbar. Am Ende könnten Angreifer mit Root-Rechten Schadcode auf Mailservern ausführen.

Auch die beiden anderen Lücken (CVE-2019-15846, CVE-2019-16928) haben es in sich: Erfolgreiches Ausnutzen führt ebenfalls zu Remote Code Execution. Auch in diesen Fällen könnten Angreifer Root-Rechte erlangen.

Quelle: Jetzt patchen! Weltweit immer noch mehr als 1 Millionen Exim-Server attackierbar | heise online