News Hackerangriffe: Sicherheitslücke in Exim-E-Mail-Server wird ausgenutzt

[Frank]

Die vor einer Woche zufällig entdeckte kritische Sicherheitslücke im Mail Transfer Agent Exim, der auf rund 50 Prozent aller E-Mail-Server läuft, wird wenige Tage nach Bekanntwerden bereits von Hackern ausgenutzt. Die Remote-Command-Execution-Schwachstelle ermöglicht das Ausführen von Befehlen mit Root-Rechten aus der Ferne.

Zur News: Hackerangriffe: Sicherheitslücke in Exim-E-Mail-Server wird ausgenutzt

 

[yummycandy]

Das Exim auf 50% der Server läuft, ist übrigens übertrieben (nicht von euch). Der Grund ist, daß die meisten Server keinen Ident-String schicken, sondern anonym bleiben. Auf den verbleibenden könnten es allerdings 50$ sein.

 

[DieRenteEnte]

@yummycandy
Wenn man Statistiken erstellt, muss man nicht unbedingt 100% aller Server auswerten.
So wie bei Umfragen, muss man je nach Thema nur einen gewissen kleinen Bruchteil befragen, um eine ungefähre Hochrechnung auf die ganze Bevölkerung machen zu können.

 

[yummycandy]

@yummycandy
Wenn man Statistiken erstellt, muss man nicht unbedingt 100% aller Server auswerten.
So wie bei Umfragen, muss man je nach Thema nur einen gewissen kleinen Bruchteil befragen, um eine ungefähre Hochrechnung auf die ganze Bevölkerung machen zu können.

Nochmal, die meisten Server lassen sich nicht identifizieren und das aus Sicherheitsgründen. Genau deshalb sind diese Statistiken kaum sinnvoll. Klar ist Exim verbreitet, aber wieviel, das wissen wohl nichtmal die Entwickler.

 

[DieRenteEnte]

@yummycandy
Das hast du bereits geschrieben und es zu wiederholen macht es nicht besser, richtig (falsch) oder sonst was.

 

[Pilatesjünger]

Oder kurz: Auf allen unmanaged 50 cent im jahr Linux Frickelservern....

 

[yummycandy]

@yummycandy
Das hast du bereits geschrieben und es zu wiederholen macht es nicht besser, richtig (falsch) oder sonst was.

Nun, du bist nicht drauf eingegangen. Abgesehen davon, ist das nicht falsch.

 

[Askat86]

Was opi damit sagen will:
Auch nicht identifizierte Server werden im Schnitt auf die gleichen Technologien setzen wie ihre identifizierten Kollegen. Daher kann man mit den bekannten eine Hochrechnung machen und wird grob richtig liegen. Dein Argument das sie unbekannt wären ist da hinfällig.

 

[yummycandy]

Was opi damit sagen will:
Auch nicht identifizierte Server werden im Schnitt auf die gleichen Technologien setzen wie ihre identifizierten Kollegen. Daher kann man mit den bekannten eine Hochrechnung machen und wird grob richtig liegen. Dein Argument das sie unbekannt wären ist da hinfällig.

Es gibt neben exim noch Postfix, Sendmail, Exchange und eine Menge anderer MTAs, wie will ich da ne Hochrechnung machen, wenn die Masse sich nicht identifziert? Sry, das geht mir nicht in den Kopf.

Das ist mit Programmen schwer, weshalb die Anbieter meißt auf Feedback (Telefmetrie, Schlüssel, Downloads, etc.) Wert legen, um überhaupt einen Überblick zu behalten. Wer im Internet einen MTA betreibt, hat sich meißt bewußt dafür entschieden. Da die Programme aber nicht einzeln runtergeladen werden, ist es nunmal schwer, das überhaupt abzuschätzen.

 

[Der-Orden-Xar]

Gegenfrage: Warum sollten die Hochrechnungen nicht stimmen? Hast du irgendwas, was dafür spricht, dass die Software im Schnitt signifikant anders ist auf den verstecken Servern?
Also mehr als deine Vermutung "wer versteckt, nutzt vielleicht andere Software"

Es gibt nicht ohne Grund statistische Methoden um von einer hinreichend großen, aber im Vergleich zur Gesamtmenge immer noch kleinen Stichprobe auf die Gesamtheit zu schließen.

Zur Einsortierung: Landtagswahl in Bremen 2019.
Die letzte Umfrage vor der Wahl war von der Forschungsgruppe Wahlen.
CPU: 26% (nach dem vorläufigen amtlichen Endergebnis 26,7%), SPD 24,5% (24,9%), Grüne 18% (17,4%), FDP 5% (5,9%), Linke 12% (11,3%), AfD 7% (6,1%), BIW 3% (2,4%), andere 4,5% (5,1%).

Also eine Abweisung von unter einem Prozentpunkt pro Partei bei nur 1664 Befragten im Vergleich zu 297.553 gültigen Stimmzetteln.

Wieso sollte es nicht möglich sein, auch die Softwarekonfiguration von Servern derart gut abzuschätzen?

 

[Bob.Dig]

yummycandys Hinweis ist doch in Ordnung. War mir z.B. nicht bekannt. 😉

 

[Azmodia]

Gibt es auch Probleme wenn man Exim als smarthost konfiguriert hat?

 

[Palmdale]

@Bob.Dig
Im Konjunktiv ja, wie ers geschrieben hat als Fakt nein. Wenn man die These aufstellt, dass die Verteilung der anonymen Server sich signifikant der identifizierbaren Server unterscheidet sollte man erklären, wie man zu dieser Vermutung kommt. Die alleinige Tatsache, dass es weitere Namen in dieser Branche gibt tut das nämlich nicht.

Die These wäre per se nur dann richtig, wenn technisch/softwaretechnisch ein Exim Server immer einen Ident-String schickt und dies nicht durch den Admin & Co unterbunden werden könnte.

 

[mensch183]

Nochmal, die meisten Server lassen sich nicht identifizieren und das aus Sicherheitsgründen.

Die meisten lassen sich sehr wohl identifizieren. Du darfst nicht nur auf die Begrüßung schauen und aufgeben, wenn der Server dir nicht gleich ein "Exim" o.ä. entgegenschleudert. Genau das meinst du doch mit Servern, die "keinen Ident-String schicken", stimmts?

Sobald man bischen mit dem Server "spricht", wird anhand der Eigenheiten i.a.R. schnell klar, welche Software sich dahinter verbirgt. Es gibt nur wenige, häufig eingesetzte Programme für den Job, die man für so eine Statistik auseinanderhalten muss. Die paar verbleibenden, unsicheren Kandidaten spielen mengenmäßig keine Rolle.

Es gibt neben exim noch Postfix, Sendmail, Exchange und eine Menge anderer MTAs, wie will ich da ne Hochrechnung machen, wenn die Masse sich nicht identifziert? Sry, das geht mir nicht in den Kopf.

Setz dir mal die 4 benannten Server auf und sprich via Telnet mit denen bischen SMTP. Ignoriere die Begrüßung. Schau dir alle anderen Antworten genau an: Die Formatierung der Freiformfelder, die Reihenfolge von Aufzählungen, die Fehlermeldungen. Logge mit, vergleiche, notiere Unterschiede. Jede Wette, dass du nach einer halben Stunde die 4 Server voneinander zu unterscheiden gelernt hast, selbst wenn hier und dort mal eine Voreinstellung des Servers verändert wurde.

 

[Arcturus128]

Es gibt nicht ohne Grund statistische Methoden um von einer hinreichend großen, aber im Vergleich zur Gesamtmenge immer noch kleinen Stichprobe auf die Gesamtheit zu schließen.

Das stimmt, allerdings sind die Stichproben häufig nicht hinreichend groß und deshalb statistisch nicht relevant. Wer weiß schon, wie viele Server für diese Statistik ausgewertet wurden? Aber das geht am Thema vorbei.

 

[yummycandy]

Sobald man bischen mit dem Server "spricht", wird anhand der Eigenheiten i.a.R. schnell klar, welche Software sich dahinter verbirgt. Es gibt nur wenige, häufig eingesetzte Programme für den Job, die man für so eine Statistik auseinanderhalten muss. Die paar verbleibenden, unsicheren Kandidaten spielen mengenmäßig keine Rolle.

Das ist natürlich richtig, aber die Serverstatistik wird ja nicht manuell aufgebaut.
Mir ging es um die weltweite Verbreitung und ja, ich meinte den typischen Ident String.

 

[mensch183]

Nix manuell. Die Erkennung ist leicht automatisierbar und beliebig parallelisierbar.

 

[yummycandy]

Nix manuell. Die Erkennung ist leicht automatisierbar und beliebig parallelisierbar.

Bei mehreren Millionen Servern macht das aber keiner, da wird einfach nach Ident geschaut.

 

[snaxilian]

Weil? Auch weiterführende Abfragen mit Ein- und Ausgaben lassen sich problemlos automatisieren.

An die Redaktion: wann lernt ihr endlich, dass Versionsnummer != Sicherheitsstand unter Linux oder schreibt ihr nur blind ab ohne selbst zu denken? Viele Distris wie z.B. RHEL, SLES oder Debian erhöhen in einem Release idR nicht die Versionen von Software, Patches werden jedoch zurück portiert.

 

[andr_gin]

Die Angabe von 50% der Server an sich ist schon einmal nicht wirklich aussagekräftig. Die entscheidende Frage ist eher wieviele User dahinter stecken und dann noch einmal wieviele Businessuser das sind.
Sicherheitstechnisch relevant sind nicht die 80% Testserver oder private Hobbyserver, die genau eine Mailbox hosten und sowieso seit 10 Jahren kein Update gesehen haben.

Wichtig sind die Server, die die Firmenmails der meisten Firmen hosten und hier ist der Anteil an Exchange Servern oder anderen proprietären Lösungen deutlich größer. Genauso werden diese Server auch im Schnitt besser konfiguriert sein bzw. durch zusätzliche Firewalls geschützt sein, die entweder die Attacken von sich ais schon erkennen und abfangen oder auch die Erkennung der verwendeten Software erschweren.

Sekundär sind vielleicht noch die Mailserver von Internetprovidern relevant, die Mailboxen für Privatkunden hosten (GMX/Gmail etc.). Diese sind jedoch mit Sicherheit die ersten, die die entsprechenden Sicherheitsupdate einspielen werden.