Administratoren, die Mailserver mit Exim betreiben, sollten jetzt zumindest die Version 4.92.3 installieren. Aktuell haben Angreifer drei kritische Sicherheitslücken im Fokus und greifen die Server an. Funktionieren die Attacken, könnten Angreifer auf dem Mailserver Schadcode mit Root-Rechten ausführen.
Die drei kritischen Lücken wurden schon im Laufe des letzten Jahrs bekannt. Zwischen September und Oktober erschienen die entsprechenden Sicherheitsupdates. Allerdings wurden die offensichtlich noch nicht von allen Admins installiert, was nun dringend geschehen sollte.
Deutsche Exim-Mailservererver
Exim ist in der ganzen Welt weit verbreitet. Einem aktuellen Report von Security Space nach kommt der Mail Transfer Agent (MTA) auf fast 60 Prozent der öffentlich im Internet erreichbaren Mailserver zum Einsatz.
Die Suchmaschine Shodan belegt, dass es weltweit noch mehr als 1 Million Mailserver unter der verwundbaren Exim-Version 4.92 gibt. Davon steht zwar der Großteil in den USA, aber mehr als 32.000 dieser Mailserver sind in Deutschland stationiert.
Es hat sich durchaus schon etwas verbessert, denn Im November 2019 wurde die angreifbare Version noch auf über 3 Millionen eingesetzt.
Gefährliche Angriffe
Ganz aktuell warnt die National Security Agency (NSA) vor Attacken, die von Russland ausgehen. Die kritische Lücke (CVE-2019-10149) soll sich relativ einfach ausnutzen lassen. Angriffe ohne Authentifizierung aus der Ferne sind dabei vorstellbar. Letztlich könnten Angreifer sich Root-Rechte verschaffen und dann Schadcode auf Mailservern ausführen.
Auch die zwei weiteren Lücken (CVE-2019-15846, CVE-2019-16928) haben können fatal werden. Erfolgreiche Angriffe darüber führen ebenfalls zu Remote Code Execution, denn auch über diese Lücken können Angreifer Root-Rechte erlangen.
