Fix steht bereit: Schwachstelle in Exim gefährdet Mailserver weltweit
Allein in Deutschland sind potenziell mehr als 160.000 online erreichbare E-Mail-Server von einer neu aufgedeckten Schwachstelle in der weitverbreiteten MTA-Software (Mail Transfer Agent) Exim betroffen. Weltweit sind es sogar über 3,5 Millionen Systeme. Ein Patch ist bisher nicht in Sicht.
Eine RCE-Schwachstelle im SMTP-Dienst von Exim
Entdecker der als CVE-2023-42115 registrierten und mit einem CVSS von 9,8 als kritisch bewerteten Sicherheitslücke ist ein anonymer Sicherheitsforscher, der seine Erkenntnisse am Mittwoch über die Zero Day Initiative (ZDI) veröffentlicht hat. Der Beschreibung der Schwachstelle zufolge ermöglicht sie Angreifern die Ausführung von Schadcode aus der Ferne (RCE) – und das ohne jegliche Authentifizierung.
Das Problem liege demnach in dem mit dem TCP-Port 25 verbundenen SMTP-Dienst von Exim, in dem keine ordnungsgemäße Validierung der vom Benutzer bereitgestellten Daten stattfinde. Infolgedessen seien Schreibvorgänge über das Ende eines Puffers hinaus möglich. „Ein Angreifer kann diese Sicherheitslücke ausnutzen, um Code im Kontext des Dienstkontos auszuführen“, heißt es weiter in der Meldung.
Kein Patch vorhanden – nach mehr als 15 Monaten
Wenig erfreulich ist indes die kaum vorhandene Reaktion der zuständigen Entwickler auf die Meldung der Schwachstelle, die dem ZDI zufolge schon am 14. Juni 2022 stattgefunden habe. Denn eine Antwort gab es wohl zunächst gar nicht, bis die Organisation nach rund zehn Monaten nochmal nachhakte und um ein Update bat. Daraufhin habe ein Exim-Entwickler um die erneute Übermittlung der Berichte gebeten. Nachdem die ZDI dieser Bitte nachgekommen sei, folgte erneut eine Funkstille von mehreren Monaten.
Am vergangenen Montag wies die ZDI dann darauf hin, sie werde die Exim-Schwachstelle am Mittwoch, dem 27. September 2023, offenlegen – was sie dann auch tat, nachdem es offenbar erneut keinerlei Reaktion gab. Sicherheitsupdate? Nicht vorhanden. Die aktuellste Exim-Version ist 4.96, veröffentlicht am 25. Juni 2022.
Weltweit über 3,5 Millionen Exim-Server erreichbar
Ein Problem ist der nach wie vor nicht vorhandene Patch insbesondere deshalb, weil Exim nicht nur sehr weit verbreitet, sondern die damit betriebenen Mailserver aufgrund ihres Einsatzzweckes üblicherweise auch über das Internet erreichbar sind. Laut einer Umfrage von Security Space, deren Auswertung am 1. September erschien, vertrauen 342.337 von insgesamt 602.048 erfassten und über das Internet erreichbaren Mailservern auf Exim. Damit hat die MTA-Software derzeit einen Marktanteil von annähernd 57 Prozent. Kaum verwunderlich, ist Exim doch auf Debian-basierten Linux-Systemen der Standard-MTA.
Wie groß die absoluten Zahlen sind, zeigt sich anhand einer entsprechenden Shodan-Suche, die Bleeping Computer in einem Bericht geteilt hat. Weltweit sind demnach aktuell über 3,5 Millionen Exim-Server über das Internet erreichbar. Angeführt wird das Feld von den USA, doch auch Deutschland steht mit mehr als 160.000 Exim-Servern immerhin auf Platz 3.
Was tun ohne Patch?
Wer einen Exim-Mailserver betreibt, kann im Grunde derzeit nicht viel tun, um sein System vor einer Ausnutzung von CVE-2023-42115 zu schützen. „In Anbetracht der Art der Schwachstelle besteht die einzige nennenswerte Abhilfestrategie darin, die Interaktion mit der Anwendung einzuschränken“, heißt es bei der ZDI dazu. Konkret bedeutet das wahrscheinlich so viel wie: Port 25 besser vorerst schließen. Eingehende Verbindungen auf Port 587 oder 465 scheinen von dem Problem ausgenommen zu sein.
Der erste Fall einer kritischen Sicherheitslücke in Exim ist dies gewiss nicht. Schon im Jahr 2019 hatten Sicherheitsforscher eine RCE-Schwachstelle in der Software entdeckt, durch die Angreifer als root Befehle auf anfälligen Servern ausführen konnten. Nur wenige Tage später folgten damals Berichte über die aktive Ausnutzung der Lücke, wenngleich Administratoren damals einen entscheidenden Vorteil hatten: Es gab schon einen Patch.
Ein deutscher Exim-Entwickler namens Heiko Schlittermann hat sich inzwischen zu den Ausführungen der ZDI geäußert. Demnach gebe es für drei von insgesamt sechs von der ZDI gemeldeten Problemen inzwischen einen Fix, der Betreuern der jeweiligen Distributionen in einem geschützten Repository zur Verfügung stehe. Dazu zähle auch jener für CVE-2023-42115. Die verbleibenden drei Schwachstellen seien strittig oder es mangle noch an für eine Behebung erforderlichen Informationen.
Grund für die Verzögerungen waren offenkundig Kommunikationsprobleme. So behauptet Schlittermann, das Entwicklerteam von Exim habe gleich nach der ersten Kontaktaufnahme der ZDI im Juni 2022 weitere Details angefordert, jedoch keine Antwort erhalten, mit denen das Team hätte arbeiten können.
Warum angesichts der Tragweite des Problems keine der involvierten Parteien an der Sache dran geblieben ist, bleibt damit jedoch fraglich. Aktuell erwecken die Darlegungen den Anschein, als sei einer effektiven Problembeseitigung beiderseits nur wenig Aufmerksamkeit geschenkt worden.
Die Redaktion dankt Community-Mitglied 0x8100 für den Hinweis zu diesem Update.
Seit gestern ist mit Version 4.96.1 von Exim auch ein Update für die breite Masse verfügbar. Wie Bleeping Computer unter Verweis auf Sicherheitsforscher von watchTowr Labs berichtet, soll CVE-2023-42115 zudem nur dann ausnutzbar sein, wenn der jeweilige Mailserver für eine externe Authentifizierung konfiguriert ist. Eine weltbewegende Katastrophe sei die Schwachstelle aufgrund dieser spezifischen Anforderung grundsätzlich nicht, da diese die Anzahl der anfälligen Server drastisch verringere.