21 Schwachstellen in Exim-Mailserver lassen Web- und Cloud-Betrieb ungeschützt

Cyber Security News

Werbeartikel, der von der Digital Equipment Corporation herausgegeben wurde, um das UNIX-Betriebssystem zu promoten. Einundzwanzig Schwachstellen wurden in Exim Internet Mailer entdeckt, einem beliebten Mail Transfer Agent (MTA), der für die wichtigsten Unix-ähnlichen Betriebssysteme verfügbar ist. (KHanger/CC BY 3.0/https://commons.wikimedia.org/wiki/File:UNIX-Licence-Plate.JPG)

Forscher haben am Dienstag eine Studie veröffentlicht, die 21 einzelne Schwachstellen im Exim-Mailserver gefunden hat, von denen einige miteinander verkettet werden können, um eine vollständige entfernte, nicht authentifizierte Codeausführung zu erreichen und Root-Rechte zu erlangen.

In einem Blog-Post erklärte das Qualys Research Team, dass diese Schwachstellen zahlreiche Organisationen betreffen, da schätzungsweise 60 % der Internet-Server auf Exim laufen. Eine von der Forschung durchgeführte Shodan-Suche ergab, dass fast 4 Millionen Exim-Server dem Internet ausgesetzt sind.

Sicherheitsprofis sollten auch beachten, dass Exim-Server, die in der Cloud gehostet werden, ausgenutzt werden können, sagte Parag Bajaria, Vice President of Cloud and Container Security Solutions bei Qualys.

“Es gibt viele Exploits, die ein Angreifer in der Cloud ausführen kann, sobald er Root-Rechte auf der VM, die den Exim-Server hostet, erlangt hat”, so Bajaria. “Je nachdem, wo sich der Exim-Server befindet, gibt es eine weitere Möglichkeit der lateralen Bewegung. Und wenn die virtuelle Maschine, die einen Exim-Server hostet, mit IAM-Berechtigungen versehen ist, dann können diese Berechtigungen weiter für die Datenexfiltration und IAM-Privilegieneskalation ausgenutzt werden.”

Exim Internet Mailer hat sich zu einem beliebten Mail Transfer Agent (MTA) entwickelt, der für die wichtigsten Unix-ähnlichen Betriebssysteme verfügbar ist und auf Linux-Distributionen wie Debian vorinstalliert ist.

Laut den Qualys-Forschern können Angreifer 10 der Schwachstellen aus der Ferne ausnutzen, einige davon führen dazu, dass sie Root-Rechte auf dem entfernten System erhalten. Und bei den anderen 11 können Angreifer sie lokal ausnutzen, wobei die meisten entweder in der Standardkonfiguration oder in einer sehr häufigen Konfiguration ausgenutzt werden.

MTAs sind laut den Forschern zu interessanten Zielen für Angreifer geworden, weil sie in der Regel über das Internet erreichbar sind. “Einmal ausgenutzt, könnten sie sensible E-Mail-Einstellungen auf den Mail-Servern ändern und es den Angreifern ermöglichen, neue Konten auf den Ziel-Mail-Servern zu erstellen”, so die Forscher. “Letztes Jahr war die Schwachstelle im Exim Mail Transfer Agent ein Ziel russischer Cyber-Akteure, die offiziell als das Sandworm-Team bekannt sind.”

Die Exim-Schwachstelle verdeutlicht einmal mehr, dass Unternehmen eine mehrschichtige Verteidigungsstrategie verfolgen müssen”, so Vishal Jain, Mitbegründer und Chief Technology Officer bei Valtix.

“Die Anbieter von Cloud-Infrastrukturen schützen nicht vor der Remote-Ausführung der Anwendungen des Kunden”, so Jain. “Cloud- und Security-Operations-Teams tragen oft diese Verantwortung. Es ist zwingend erforderlich, dass Unternehmen Anwendungen in der Public Cloud gegen eingehende Bedrohungen durch Best-Practice-Netzwerksicherheit für Ingress-, Egress-, Ost-West- und DNS-Datenverkehr schützen. Netzwerksicherheit bietet eine starke Verteidigung gegen Schwachstellen mit Remote-Ausführung, wie sie im Fall von Exim zu finden sind.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com