Ein Fix ist auf dem Weg: Exim-Schwachstelle gefährdet unzählige E-Mail-Server
Ein anonymer Sicherheitsforscher hat eine kritische und bisher ungepatchte Sicherheitslücke in der weitverbreiteten MTA-Software (Mail Transfer Agent) Exim entdeckt und über die Zero Day Initiative (ZDI) veröffentlicht. Wie aus der Beschreibung(öffnet im neuen Fenster) der als CVE-2023-42115 registrierten und mit einem CVSS von 9,8 bewerteten Schwachstelle hervorgeht, erlaubt sie Angreifern die Ausführung von schadhaftem Code auf anfälligen Server-Systemen. Eine Authentifizierung sei dafür nicht erforderlich.
Weiter heißt es dort, die Sicherheitslücke basiere auf einem Fehler im mit dem TCP-Port 25 verbundenen SMTP-Dienst. Diesem fehle es an einer ordnungsgemäßen Validierung der vom Benutzer bereitgestellten Daten. Folglich sei es möglich, Schreibvorgänge über das Ende eines Puffers hinaus auszuführen, um beispielsweise Schadcode im Kontext des Dienstkontos anzuwenden.
Nach mehr als 15 Monaten noch immer kein Patch verfügbar
Die ZDI hat die Lücke nach eigenen Angaben schon am 14. Juni 2022 an den zuständigen Entwickler gemeldet. Rund zehn Monate später hakte die Organisation nochmal nach, da der Fehler offenbar weiterhin präsent war. Der Anbieter bat daraufhin um eine erneute Übermittlung der Details zu der Exim-Schwachstelle. Danach folgte wieder für mehrere Monate keinerlei Reaktion, sodass sich die ZDI schlussendlich für eine Offenlegung am vergangenen Mittwoch entschied – zwei Tage nachdem sie dem Entwickler ihr Vorhaben angekündigt hatte.
Weltweit sind Millionen von Exim-Servern erreichbar
Besonders gravierend an CVE-2023-42115 ist die Tatsache, dass es bisher keinerlei Patch gibt und Exim zugleich sehr weit verbreitet und üblicherweise auch über das Internet erreichbar ist. Auf Debian-basierten Linux-Systemen ist Exim die Standard-MTA-Software. Eine Umfrage von Anfang September(öffnet im neuen Fenster) ergab, dass 342.337 von insgesamt 602.048 über das Internet erreichbaren Mailservern auf Exim setzen – ein Anteil von fast 57 Prozent.
Wie Bleeping Computer berichtet(öffnet im neuen Fenster) , fördert eine Shodan-Suche(öffnet im neuen Fenster) aber noch weitaus größere Zahlen zutage. Demnach sind weltweit derzeit mehr als 3,5 Millionen Exim-Server online – die meisten davon in den USA, danach folgen Russland, Deutschland und die Niederlande. Hierzulande sind mehr als 160.000 Exim-Server erreichbar.
Jenen Administratoren, die ihre Systeme vor einer Ausnutzung der Schwachstelle schützen wollen, bleiben bis zur Verfügbarkeit eines Patches offenbar nicht viele Optionen. "In Anbetracht der Art der Schwachstelle besteht die einzige nennenswerte Abhilfestrategie darin, die Interaktion mit der Anwendung einzuschränken" , erklärt die ZDI diesbezüglich.
Nachtrag vom 1. Oktober 2023, 7:35 Uhr
Einer der zuständigen Exim-Entwickler(öffnet im neuen Fenster) hat sich mittlerweile zu dem Sachverhalt geäußert(öffnet im neuen Fenster) . Demnach stehe zumindest für die Entwickler der jeweiligen Distributionen über ein geschütztes Repository inzwischen ein Fix zur Verfügung, der die Schwachstelle behebe. Als Grund für die Verzögerung nennt der Entwickler eine unzureichende Kommunikation seitens der ZDI. Aktuell erwecken die Darlegungen beider Parteien den Eindruck, als sei die Problembeseitigung trotz der enormen Tragweite beiderseits nur mit wenig Ehrgeiz verfolgt worden.