image

Mailservers actief aangevallen via beveiligingslek in Exim

vrijdag 14 juni 2019, 09:44 door Redactie, 8 reacties
Laatst bijgewerkt: 14-06-2019, 11:18

Mailservers worden actief aangevallen via een beveiligingslek in Exim waarvoor begin deze maand een update verscheen. Dat melden verschillende beveiligingsonderzoekers op Twitter. In Nederland zouden meer dan 137.000 kwetsbare mailservers draaien, zo blijkt uit cijfers van zoekmachine Shodan.

Exim is een message/mail transfer agent (MTA) die wordt gebruikt voor het afleveren van e-mails. De software draait op 57 procent van alle mailservers wereldwijd. Via de kwetsbaarheid kan een aanvaller op afstand commando's met rootrechten uitvoeren. Aanvallers maken nu actief gebruik van het beveiligingslek om een script te uploaden dat een RSA-authenticatiesleutel aan de SSH-server toevoegt. Op deze manier kunnen de aanvallers via SSH als root inloggen en zo de server volledig overnemen.

Vervolgens wordt er een cryptominer geïnstalleerd, zo laat onderzoeker Amit Serper van securitybedrijf Cybereason in een blogpost weten. Tevens installeren de aanvallers een poortscanner die naar andere kwetsbare mailservers zoekt. Volgens Serper lopen meer dan 3,5 miljoen mailservers risico om te worden aangevallen. Beheerders krijgen het advies om de beschikbare beveiligingsupdate zo snel als mogelijk te installeren. Daarnaast kan er worden gekeken naar de aanwezigheid van de RSA-sleutel van de aanvallers.

Image

Reacties (8)
14-06-2019, 10:33 door Anoniem
``De software draait op 57 procent van alle mailservers wereldwijd.''
Hee Redactie leuk dat jullie uit jullie eigen overtikstukjes overtikken, maar doe het dan goed. Dit is zelfs niet wat er in het vorige stukje stond, en daarmee misleidend.

Nu ik toch bezig ben:
``Exim is een message/mail transfer agent (MTA) die wordt gebruikt voor het afleveren van e-mails.''
Dat is strikt genomen incorrect gebruik van de term. Afleveren van emails is één van de dingen die een MTA kan doen, en dan praten we over een Mail Delivery Agent (MDA). Een MTA is er voor het Transporteren van email van versturende (MSA) mailserver naar ontvangende (MDA) mailserver. MTA was oorspronkelijk de enige term voor een mailserver, later opgesplitst. Exim kan (zoals wel meer MTA-software) alle drie de rollen vervullen.

Als dat te moeilijk is dan zeg je "Exim is email server software'' en je bent er.


``[...] dat een RSA-authenticatiesleutel aan de SSH-server toevoegt.''
Duurde even voordat me duidelijk was wat er bedoeld werd. Ik denk dat bedoeld wordt sleutel aan /root/.ssh/authorized_keys toe te voegen. Dat is vervelend als je denkt dat je met wachtwoordtoegang uitzetten voor root klaar bent.

"Best practice" is overigens om geen enkele ssh-toegang voor root toe te staan. Beheerders loggen maar in als gebruiker (met zo'n sleutel, geen losse wachtwoorden, dank u) en pakken dan sudo of su. Wat, als het goed is, alleen kan vanaf een intern netwerk waar je van buitenaf alleen op komt via een "bastion host" waar niets anders op draait dan ssh (en eventueel een vpn server, als het echt moet, voor rare clickibunti-verslaafden), maar zeker geen verdere publiek zichtbare diensten.
14-06-2019, 19:12 door karma4
Ssh en rsa Keys als kwetsbaarheden.
Waar blijft de alertheid over slechte architectuur falend etc...
15-06-2019, 15:43 door Anoniem
Door Anoniem: ``Exim is een message/mail transfer agent (MTA) die wordt gebruikt voor het afleveren van e-mails.''
Dat is strikt genomen incorrect gebruik van de term. [...]
Als dat te moeilijk is dan zeg je "Exim is email server software'' en je bent er.
Misschien moet je dit ook eens aan de makers van Exim uitleggen.
Exim is a message transfer agent (MTA) developed at the University of Cambridge for use on Unix systems connected to the Internet.
Dat is de eerste zin die ik tegenkom op https://www.exim.org/. Ik denk dat ik de redactie wel kan vergeven dat ze het een MTA noemen.
16-06-2019, 08:22 door [Account Verwijderd] - Bijgewerkt: 16-06-2019, 08:22
Door Anoniem:
Door Anoniem: ``Exim is een message/mail transfer agent (MTA) die wordt gebruikt voor het afleveren van e-mails.''
Dat is strikt genomen incorrect gebruik van de term. [...]
Als dat te moeilijk is dan zeg je "Exim is email server software'' en je bent er.
Misschien moet je dit ook eens aan de makers van Exim uitleggen.
Exim is a message transfer agent (MTA) developed at the University of Cambridge for use on Unix systems connected to the Internet.
Dat is de eerste zin die ik tegenkom op https://www.exim.org/. Ik denk dat ik de redactie wel kan vergeven dat ze het een MTA noemen.

Het gaat niet om dat 'MTA', het gaat om het toegevoegde 'die wordt gebruikt voor het afleveren van e-mails'. Dat vind je niet zo op de exim.org.
16-06-2019, 08:39 door Anoniem
Door Captain of Industry:

Het gaat niet om dat 'MTA', het gaat om het toegevoegde 'die wordt gebruikt voor het afleveren van e-mails'. Dat vind je niet zo op de exim.org.

Als mensen eerst iets uitzoeken voordat ze zomaar iets neerkwakken. "Exim has been deployed in busy environments, often handling thousands of emails per hour efficiently. Exim is designed to deliver email immediately, without queueing."

https://en.wikipedia.org/wiki/Exim
16-06-2019, 08:58 door Anoniem
Door karma4: Ssh en rsa Keys als kwetsbaarheden.
Nee, dit is Exim als kwetsbaarheid. Als onderdeel van de aanval wordt SSH geïnstalleerd als het nog niet aanwezig is op de server. Dan had net zo goed telnet of nog iets anders geïnstalleerd kunnen worden waarmee interactieve toegang verkregen kan worden. Dat SSH misbruikt wordt komt omdat de aanvaller al rechten heeft weten te bemachtigen waarmee alles kan; het is vervolgschade van een ernstige fout in Exim.
16-06-2019, 10:03 door Anoniem
Door Captain of Industry: Het gaat niet om dat 'MTA', het gaat om het toegevoegde 'die wordt gebruikt voor het afleveren van e-mails'. Dat vind je niet zo op de exim.org.
Het probleem waar het hier over gaat zit in de code voor het afleveren van e-mails. Als een bepaald model auto een probleem met stuurbekrachtiging heeft dan impliceert een zin als "automodel XYZ, dat stuurbekrachtiging heeft" niet dat dat model uitsluitend uit stuurbekrachtiging bestaat en geen wielen heeft om op te rijden. Op dezelfde manier claimt de redactie hier niet dat een MTA uitsluitend berichten bezorgt is maar dat het die functie ook heeft. Zo lees ik het althans, ze waren iets aan het opschrijven vanuit het perspectief van het onderwerp van het bericht.

De term MTA slaat trouwens op het overdragen ("transfer", niet "transport") van e-mail via SMTP. Dat slaat op zenden én ontvangen. De D in MDA staat voor "delivery", en daar wordt bezorging in de mailbox van de uiteindelijke ontvanger mee bedoeld, geen bezorging aan een volgende MTA dus maar locale bezorging. De S in MSA staat voor "submission", en is specifiek bedoeld voor het in ontvangst nemen van e-mails van MUA's (message user agents). Dit omdat de transfer-functie de inhoud van een bericht niet hoort te wijzigen en typisch geen authenticatie vereist van de aanleverende partij, dingen die bij ontvangst van MUA's wel nodig of gewenst zijn. Zie (onder meer) https://tools.ietf.org/html/rfc5598.

Je valt over incorrect gebruik van termen door de redactie maar je laat zelf ook de nodige steekjes vallen. Dat is helemaal niet erg, vrijwel niemand slaagt erin om daar feilloos in te zijn, maar wees je ervan bewust dat je er zelf ook niet altijd in slaagt perfect te zijn en breng wat tolerantie op voor de imperfecties van anderen. Het artikel hierboven is goed leesbaar en in de verste verte geen onbegrijpelijke wartaal.

Postel's wet is in dit kader wel mooi:
Be liberal in what you accept, and conservative in what you send.
Jon Postel is toepasselijk genoeg de geestelijke vader van het SMTP-protocol.
16-06-2019, 22:20 door [Account Verwijderd] - Bijgewerkt: 16-06-2019, 22:27
Door Anoniem:
Door Captain of Industry: ...
Je valt over incorrect gebruik van termen door de redactie maar je laat zelf ook de nodige steekjes vallen.

Ik val erover? Echt waar? Je verwart mij met een andere poster. Ik heb alleen toegelicht wat er werd bedoeld. Ik laat zelf de nodige steekjes vallen? Waar dan? Geef eens een voorbeeld. In ieder geval niet in deze draad want hier heb ik weinig geschreven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.