Exim, der weit verbreitete Open-Source-Mail-Transfer-Agent (MTA), hat ein dringendes Sicherheitsupdate für Exim-Versionen bis einschließlich 4.92.2 veröffentlicht. Bei der Schwachstelle (CVE-2019-16928) handelt es sich um einen Heap-basierten Pufferüberlauf (Speicherkorruption) in string_vformat, der in der Datei string.c der EHLO Command Handler-Komponente definiert ist und es Hackern ermöglicht, mit einer speziell präparierten Zeile im EHLO-Befehl einen Denial-of-Service auf einem gezielten Exim-Server auszulösen. Nach Angaben von Exim gibt es einen bekannten PoC-Exploit für diese Schwachstelle, mit dem der Exim-Prozess zum Absturz gebracht werden kann.
Wie hoch ist das Risiko?
Ähnlich wie bei der Exim-Schwachstelle, über die wir erst vor drei Wochen, am 9. September, geschrieben haben, können Angreifer über diese Schwachstelle aus der Ferne bösartigen Code mit Root-Rechten auf dem Server ausführen. Und wie beim CVE vom 9. September wurde auch diese Schwachstelle mit 9,8 von 10 Punkten auf der CVE-Skala für kritische Schwachstellen bewertet, da diese Zugriffsebene ein großes Risiko darstellt und wahrscheinlich in kurzer Zeit ausgenutzt werden kann.
Ist der Mailserver erst einmal kompromittiert, können Hacker auch auf alles andere auf dem Server zugreifen - einschließlich Zertifikate, Datenbanken und Anmeldeinformationen. Das bedeutet, dass Server, die mehrere Domänen hosten, ein attraktives Ziel darstellen. Wir haben uns etwa 2 Millionen Server angesehen und die Anzahl der gehosteten Domänen aufgeschlüsselt. Dabei haben wir festgestellt, dass 26.553 Server mehr als 5 Domänen hosten und 4.542 Server mehr als 25 Domänen:
| Gehostete Domains |
Insgesamt |
| Weniger als 5 |
3,753,944 |
| 5 - 25 |
22,011 |
| 25 - 50 |
4,344 |
| 50 - 75 |
71 |
| 75 - 100 |
125 |
| Größer als 100 |
2 |
| Insgesamt |
3,780,497 |
Suche auf Censys nach den betroffenen Servern
Wir haben das gesamte Internet durchsucht, um alle exponierten Exim-Server zu finden, die von dieser Sicherheitslücke betroffen sind. Insbesondere haben wir nach allen Servern gesucht, auf denen Version 4.92.2 oder frühere Versionen laufen, die von der CVE betroffen sind. Mit unserer Websuche können Sie die folgende Abfrage verwenden (fügen Sie Ihren Domainnamen in die beiden Platzhalter ein), um festzustellen, welche Version Sie verwenden:
Abfrage:
https://censys.io/ipv4?q=%28465.smtp.tls.metadata.product%3A+exim+OR+587.smtp.starttls.metadata.product%3A+exim%29+AND+%28465.smtp.tls.tls.certificate.parsed.names%3A+%3CINSERT+DOMAIN+HERE%3E+OR+587.smtp.starttls.tls.certificate.parsed.names%3A+%3CINSERT+DOMAIN+HERE%3E%29
Censys Web Search UI:
Exim empfiehlt Serveradministratoren dringend, die neueste Version von Exim 4.92.3 so schnell wie möglich zu installieren, da es keine bekannte Abhilfe gibt, um dieses Problem vorübergehend zu beheben.
