Neue RCE-Sicherheitslücke betrifft fast die Hälfte der E-Mail-Server im Internet
Die Exim-Schwachstelle ermöglicht es Angreifern, Befehle als Root auf entfernten E-Mail-Servern auszuführen.
Laut den Sicherheitsforschern von Qualys betrifft eine Sicherheitslücke bei der Ausführung kritischer Remote-Befehle (Remote Command Execution, RCE) mehr als die Hälfte der E-Mail-Server im Internet. Die kritische Schwachstelle befindet sich demnach in Exim-Installationen mit den Versionen 4.87 bis 4.91. Die Lücke wird als Remote-Befehlsausführung beschrieben, der einen lokalen oder entfernten Angreifer Befehle auf dem Exim-Server als root ausführen lässt.
Qualys zufolge kann die Schwachstelle sofort von einem lokalen Angreifer ausgenutzt werden, der über eine Konto auf dem E-Mail-Server verfügt, wobei selbst Konten mit begrenzten Berechtigungen ausreichten. Die eigentliche Gefahr besteht jedoch darin, dass entfernte Hacker die Schwachstelle ausnutzen, das Internet nach anfälligen Servern durchsuchen und Systeme übernehmen können.
Wie die Forscher miteilen, muss ein Angreifer eine Verbindung zum anfälligen Server für 7 Tage offen halten (indem er alle paar Minuten ein Byte sendet), um diese Schwachstelle in der Standardkonfiguration aus der Ferne auszunutzen. “Aufgrund der extremen Komplexität des Exim-Codes können wir jedoch nicht garantieren, dass diese Methode die einzige ist; es können auch effektivere Wege existieren.” Darüber hinaus sagt das Qualys-Team, dass, wenn sich Exim in bestimmten, nicht standardmäßigen Konfigurationen befindet, eine sofortige Remote-Ausnutzung möglich ist.
Die Sicherheitslücke wurde mit der Veröffentlichung von Exim 4.92 am 10. Februar 2019 beseitigt, aber als das Exim-Team diese Version veröffentlichte, wusste es nicht, dass es damit die Sicherheitslücke geschlossen hatte. Diese wurde erst kürzlich vom Qualys-Team beim Audit älterer Exim-Versionen entdeckt. In einer E-Mail an Linux-Distro-Betreuer sagte Qualys, dass die Schwachstelle “trivial ausnutzbar” sei und und dass die Gefahr bestehe, dass Angreifer in den nächsten Tagen Exploit-Code entwickeln werden.
Die Exim-Schwachstelle wird derzeit unter dem Identifikator CVE-2019-10149 geführt. Qualys bezeichnet sie auch mit dem Namen “Return of the WIZard”, da die Schwachstelle den alten WIZ- und DEBUG-Schwachstellen ähnelt, die den Sendmail-E-Mail-Server bereits in den 90er Jahren betroffen haben.