image

Censys: 1,5 miljoen Exim-mailservers draaien kwetsbare versie

donderdag 11 juli 2024, 15:46 door Redactie, 4 reacties

Ruim anderhalf miljoen Exim-mailservers draaien een kwetsbare versie, waaronder 66.000 in Nederland, zo stelt securitybedrijf Censys op basis van een eigen scan. Exim is een zeer populaire message transfer agent (MTA). Het biedt beheerders de mogelijkheid om bepaalde bestandsextensies die als bijlage bij e-mails worden meegestuurd te blokkeren.

Deze "$mime_filename extension-blocking" is echter te omzeilen. Het probleem doet zich voor wanneer een multiline RFC2231 bestandsnamen in de header van een e-mailbijlage wordt gebruikt. Exim zal de bestandsnaam dan niet goed parsen en het laatste relevante deel van de bestandsnaam weglaten. Zo is het mogelijk om malafide uitvoerbare bestanden naar gebruikers te sturen.

Het beveiligingslek, aangeduid als CVE-2024-39929, is aanwezig in alle versies van Exim tot en met 4.97.1. Exim heeft gisteren versie 4.98 uitgebracht. Censys voerde gisteren een scan uit en detecteerde op dat moment ruim anderhalf miljoen publiek toegankelijke Exim-servers die een kwetsbare versie draaien. Slechts 98 servers waren met versie 4.98 up-to-date. De meeste kwetsbare Exim-servers werden in de VS geteld. Nederland staat met 66.000 machines op een vierde plek.

Reacties (4)
11-07-2024, 16:08 door Anoniem
Dus er komt een update uit en op de zelfde dag nog ga je meten hoeveel al de update hebben geinstaleerd.
Sorry maar een update doorvoeren zeker met mailserver doe je niet ala minuut en zeker niet als er geen tijdspad was gegeven voor de release enkel zo snel mogelijk.

Dat je een dag later meet kan ik snappen maar de zelfde dag?
Exim is een onderdeel wat eens in het jaar als je geluk hebt een update krijgt laten we een beetje realistisch blijven met patch management.
11-07-2024, 17:33 door Anoniem
Die kwetsbaarheid is niet echt een lek. Het gaat om bypass op grond van bestandsnamen. Dat is al de verkeerde methode om mee te beginnen: je mag het geen kritiek lek noemen. Als je wil scannen op executables moet je dat doen op content, met een content scanner. Daarbij hoort ook de mogelijkheid containers zoals compressiebestanden, executable packages, backup en documenten uit te pakken.

De kans is groot dat veel van die Exim servers helemaal niets doet met filters op bestandsnamen. Dan kun je zeker niet spreken van lekke servers.

Dit is niet echt een nieuwswaardig bericht.
11-07-2024, 18:44 door Anoniem
Door Anoniem: Dus er komt een update uit en op de zelfde dag nog ga je meten hoeveel al de update hebben geinstaleerd.

Bovendien is "een kwetsbare versie" nogal overdreven. Exim4 zelf is (in dit geval) helemaal niet kwetsbaar.
Er zou hooguit mail doorheen kunnen komen waarvan je gedacht had dat die gefilterd werd.
Nou daar heb je uiteraard toch al meerdere beveiligingslagen voor (executable extensies op de client blokkeren, virusscanner, security awareness bij je gebruikers), daar zit exim echt niet als enige schakel voor.
12-07-2024, 08:48 door Anoniem
"Er zou hooguit mail doorheen kunnen komen waarvan je gedacht had dat die gefilterd werd." - dus eigenlijk was het dus helemaal niet nodig om de EXIM filter in te zetten? Gaat outlook toch filteren is blijkbaar goed genoeg.... En blijkbaar zijn mensen er niet bewust van dat deze kwetsbaarheid er al een hele tijd was voordat er gepatched kon worden.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.