Bijna de helft van alle e-mailservers getroffen door ernstig beveiligingslek

07-06-2019 | door: Wouter Hoeffnagel

Bijna de helft van alle e-mailservers getroffen door ernstig beveiligingslek

Een ernstig beveiligingslek treft bijna de helft van alle e-mailservers. Het gaat om een kwetsbaarheid in de mail transfer agent (MTA) Exim, die ervoor zorgt dat e-mails van de verzender naar ontvanger worden verstuurd.

Het beveiligingsprobleem is ontdekt door onderzoekers van Qualys. Het gaat om een Remote Command Execution (RCE) aanval, waarbij een aanvaller met beheerdersrechten op afstand commando's kan uitvoeren op een getroffen mailserver. De kwetsbaarheid kan worden uitgebuit door aanvallers die lokale toegang hebben systemen. Indien specifieke configuraties worden gebruikt op mailservers kunnen deze servers daarnaast op afstand worden aangevallen.

Langdurige verbinding nodig

Om de kwetsbaarheid uit te buiten in de standaard configuratie van Exim moet een aanvaller tenminste zeven dagen lang een verbinding behouden met een aangevallen server. Dit is nodig aangezien iedere paar minuten slechts enkele bytes aan data kan worden verstuurd. "Gezien de extreme complexiteit van de code van Exim kunnen wij echter niet garanderen dat deze exploitatiemethode uniek is; wellicht bestaan er snellere methodes", schrijft Qualys.

Alle versies sinds Exim 4.87, die op 6 april 2016 werd gelanceerd, bevatten het beveiligingslek. Oudere versies zijn kwetsbaar indien beheerders in de configuratie 'EXPERIMENTAL_EVENT' hebben geactiveerd.

Lek is in februari al verholpen

Opvallend is dat de kwetsbaarheid in versie 4.92 van Exim, die op 10 februari 2019 is gelanceerd, is verholpen. Het probleem werd hierbij echter niet als beveiligingsprobleem geïdentificeerd, waardoor veel besturingssystemen nog steeds een kwetsbare variant van Exim gebruiken. Zo wijst Qualys erop de exploit te hebben kunnen toepassen op een volledig up-to-date versie van de Linux-distro Debian (9.9).

Meer informatie is beschikbaar in een security advisory die Qualys heeft gepubliceerd.

Terug naar nieuws overzicht
Security