Censys: 1,5 miljoen Exim-mailservers draaien kwetsbare versie
Ruim anderhalf miljoen Exim-mailservers draaien een kwetsbare versie, waaronder 66.000 in Nederland, zo stelt securitybedrijf Censys op basis van een eigen scan. Exim is een zeer populaire message transfer agent (MTA). Het biedt beheerders de mogelijkheid om bepaalde bestandsextensies die als bijlage bij e-mails worden meegestuurd te blokkeren.
Deze "$mime_filename extension-blocking" is echter te omzeilen. Het probleem doet zich voor wanneer een multiline RFC2231 bestandsnamen in de header van een e-mailbijlage wordt gebruikt. Exim zal de bestandsnaam dan niet goed parsen en het laatste relevante deel van de bestandsnaam weglaten. Zo is het mogelijk om malafide uitvoerbare bestanden naar gebruikers te sturen.
Het beveiligingslek, aangeduid als CVE-2024-39929, is aanwezig in alle versies van Exim tot en met 4.97.1. Exim heeft gisteren versie 4.98 uitgebracht. Censys voerde gisteren een scan uit en detecteerde op dat moment ruim anderhalf miljoen publiek toegankelijke Exim-servers die een kwetsbare versie draaien. Slechts 98 servers waren met versie 4.98 up-to-date. De meeste kwetsbare Exim-servers werden in de VS geteld. Nederland staat met 66.000 machines op een vierde plek.
Sorry maar een update doorvoeren zeker met mailserver doe je niet ala minuut en zeker niet als er geen tijdspad was gegeven voor de release enkel zo snel mogelijk.
Dat je een dag later meet kan ik snappen maar de zelfde dag?
Exim is een onderdeel wat eens in het jaar als je geluk hebt een update krijgt laten we een beetje realistisch blijven met patch management.
De kans is groot dat veel van die Exim servers helemaal niets doet met filters op bestandsnamen. Dan kun je zeker niet spreken van lekke servers.
Dit is niet echt een nieuwswaardig bericht.
Bovendien is "een kwetsbare versie" nogal overdreven. Exim4 zelf is (in dit geval) helemaal niet kwetsbaar.
Er zou hooguit mail doorheen kunnen komen waarvan je gedacht had dat die gefilterd werd.
Nou daar heb je uiteraard toch al meerdere beveiligingslagen voor (executable extensies op de client blokkeren, virusscanner, security awareness bij je gebruikers), daar zit exim echt niet als enige schakel voor.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!