Nieuws

Securitybedrijf: 900.000 kwetsbare Exim-mailservers op internet

maandag 1 juni 2020, 16:26 door Redactie, 9 reacties

Op internet zijn meer dan 900.000 Exim-mailservers te vinden met een kwetsbaarheid waardoor aanvallers op afstand de systemen kunnen overnemen en het beveiligingslek wordt actief aangevallen. Dat stelt securitybedrijf RiskIQ op basis van eigen onderzoek. Vorige week beschuldigde de Amerikaanse geheime dienst NSA Rusland ervan dat het sinds augustus 2019 aanvallen tegen kwetsbare Exim-mailservers uitvoert.

Exim is zeer populaire mailserversoftware die wereldwijd op miljoenen systemen draait. De afgelopen jaren zijn verschillende ernstige kwetsbaarheden in de software gevonden en vervolgens ook actief aangevallen. De NSA waarschuwde dat de Russische inlichtingendienst GRU misbruik maakt van een kwetsbaarheid waarvoor op 5 juni 2019 een beveiligingsupdate verscheen.

Via de kwetsbaarheid kan een aanvaller alleen door het versturen van een speciaal geprepareerde e-mail commando's met rootrechten op de mailserver uitvoeren. Een aanvaller kan zo software installeren, data aanpassen en nieuwe accounts aanmaken. De kwetsbaarheid is aanwezig in versies 4.87 tot en met 4.92 van Exim. In Exim-versie 4.93 is het probleem verholpen.

Volgens RiskIQ zijn erop internet nog meer dan 900.000 Exim-mailservers te vinden die een kwetsbare versie van de mailserversoftware draaien. Aanvallers maken naast het eerder genoemde beveiligingslek ook gebruik van twee andere kwetsbaarheden die vorig jaar in Exim werden ontdekt en verholpen, aldus het securitybedrijf. Het grootste deel van de Exim-mailservers is echter kwetsbaar voor de kwetsbaarheid die specifiek door de NSA werd genoemd. Beheerders krijgen dan ook het advies om hun installatie zo snel als mogelijk te updaten.

Indiase overheid vraagt internetproviders om WeTransfer te blokkeren

Cel voor Amerikaanse it-manager die netwerk ex-werkgever saboteerde

Reacties (9)

01-06-2020, 20:08 door Anoniem

Als de scan alleen kijkt naar versienummers dan zegt het niet zo veel. Exim zal over het algemeen geïnstalleerd worden via een package manager. Bij het installeren van de update zal het versienummer niet veranderen.

01-06-2020, 20:57 door Anoniem

De Exim versie geeft niet aan of de kwetsbaarheid is gepatcht. Vele distributies behouden een versie en patchen alleen securityproblemen. Dit soort banner onderzoeken zijn gebaseerd op de foute aanname dat een versie aangeeft of de patch aanwezig is.

01-06-2020, 22:53 door Anoniem

yep backporten; heeft wel vaker bij security scan mensen false positives gegeven die niet bekend zijn met dat concept.

02-06-2020, 11:31 door The FOSS - Bijgewerkt: 02-06-2020, 11:33

Door Anoniem: Als de scan alleen kijkt naar versienummers dan zegt het niet zo veel. Exim zal over het algemeen geïnstalleerd worden via een package manager. Bij het installeren van de update zal het versienummer niet veranderen.

Inderdaad! En dat zou een bedrijf als RiskIQ toch moeten weten! Voordat ze zo'n nepnieuws verhaal als dit de wereld in blaten. Een blamage!

Bijvoorbeeld voor Debian (maar andere distributies hebben ook vergelijkbare beveiligingsteams):

https://security-tracker.debian.org/tracker/source-package/exim4

(Het versienummer verandert wel maar naar bv. iets als 4.92-8+deb10u4 (wat aangeeft dat het beveiligingsprobleem is verholpen in de versie van Exim - in dit geval 4.92 - die bij de release van de Linux distributie hoort.

02-06-2020, 14:57 door souplost

Door The FOSS:

RiskIQ is een Microsoft partner met focus op closed source. Dan krijgt Blamage een iets andere geniepige lading.

02-06-2020, 15:42 door Anoniem

Door The FOSS:

Dat klopt voor de package versie. Wat ik niet goed genoeg kon afleiden zonder een hele server te installeren is of die exacte vendor-package-release ook meekomt in de banner , of dat daar alleen de major.minor versie staat .
(en evt - hoe andere grote distributies dat doen ).

Overigens - het is helaas een feit dat veel admins te weinig patchen, en Linux admins zijn daar echt niet allemaal een uitzondering op.

02-06-2020, 19:04 door The FOSS - Bijgewerkt: 02-06-2020, 19:07

Door Anoniem:

Door The FOSS: ... (Het versienummer verandert wel maar naar bv. iets als 4.92-8+deb10u4 (wat aangeeft dat het beveiligingsprobleem is verholpen in de versie van Exim - in dit geval 4.92 - die bij de release van de Linux distributie hoort.

Gewoon effe telnetten naar poort 25 op een host. Dan krijg je bv. ESMTP Exim 4.93.0.4 (geen goed voorbeeld).

Door Anoniem: Overigens - het is helaas een feit dat veel admins te weinig patchen, en Linux admins zijn daar echt niet allemaal een uitzondering op.

Dat heb ik ook nooit beweerd. Nou ja, misschien heb ik gesteld dat als updaten lastiger is (lange wachttijden, reboots) dan er dan een hogere drempel is.

02-06-2020, 19:34 door Anoniem

Door The FOSS:

Door Anoniem:

Gewoon effe telnetten naar poort 25 op een host. Dan krijg je bv. ESMTP Exim 4.93.0.4 (geen goed voorbeeld).

Om wat zeggen over welke distro wat doet (default) met het benoemen van exim versie details in de smtp banner moet je een host hebben die

1) mail doet ,
2) dat met exim doet
3) weten op welke distributie gebaseerd
4) weten dat de admin voor de banner het default gedrag (qua versie) heeft laten staan dat de distro doet .

[ad 4: sommige admins - en security adviseurs - worden panisch van het idee dat je in de banner iets zegt over versie en type .want het kan hackers helpen. Je kunt dus ook vals-negatieve banners hebben waarin niks staat over exim of de versie, maar die wel een kwetsbare versie draaien .]

Die combinatie 1 tm 4 had ik niet snel bij elkaar. (en jij blijkbaar ook niet ). *Dat* je de esmtp banner ziet bij een telnet naar tcp/25 van een MX wist ik wel.

FYI: de versie in de banner wordt gezet in de exim config file, en in debian wordt die met een hele hoop expansies en herschrijvingen van versie-variabelen gegeneerd . Het was me niet snel genoeg duidelijk (zonder het ding te bouwen) wat dan het resultaat wordt.

02-06-2020, 20:24 door Anoniem

Ik herken dit voornamelijk bij de hoeveelheid webservers voor shared hosting met bijvoorbeeld DirectAdmin. Deze worden vaak erg slecht onderhouden. Mogelijk mede door de lage marges en de vele beunhazen.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer