Kritische Exim-Lücke: Die Hälfte aller E-Mail-Server weltweit ist angreifbar

Frank Hüber 17 Kommentare
Kritische Exim-Lücke: Die Hälfte aller E-Mail-Server weltweit ist angreifbar
Bild: ribkhan | CC0 1.0

Rund 50 Prozent der weltweiten E-Mail-Server sind von einer kritischen Remote-Command-Execution-Schwachstelle betroffen, die es Angreifern erlaubt, als root Befehle auf den betroffenen Remote-E-Mail-Servern auszuführen. Die Lücke steckt in Exim, einem Mail Transfer Agent, der auf mehr als 50 Prozent aller Server läuft.

Betroffen von der RCE-Schwachstelle sind die Exim-Versionen 4.87 bis 4.91, wie die Sicherheitsforscher von Qualys schreiben. Die bereits seit 10. Februar verfügbare Version 4.92 ist demnach nicht mehr von der Schwachstelle betroffen, wobei die Lücke von den Entwicklern nur zufällig geschlossen wurde. Sie kannten sie zu diesem Zeitpunkt selbst noch gar nicht und sie fiel auch erst später den Sicherheitsforschern von Qualys bei einer Prüfung der alten Versionen auf, die nun Details veröffentlicht haben.

Code in Empfängeradresse eingebunden

Die Lücke befindet sich in einer Funktion, die den Lokalteil der E-Mail-Adresse eines Empfängers verarbeitet und selbst Befehle ausführen kann. Ausgenutzt werden kann sie deshalb denkbar einfach, indem in dem Lokalteil des Empfängers ein Befehl versteckt wird. Selbst wenn der Server unbekannte Empfänger ablehnt, kann durch den Zusatz „+“ hinter dem Lokalteil ein Befehl untergebracht werden, der dann wiederum ausgeführt wird – mit Root-Rechten, da Exim im Normalfall über diese verfügt.

Lokal mit Postfach sofort ausnutzbar

Lokal mit Zugriff auf das Netzwerk kann diese Lücke von einem Angreifer, der über ein Postfach auf dem betroffenen E-Mail-Server verfügt, sofort ausgenutzt werden, wobei es keine Rolle spielt, ob seine Berechtigungen eigentlich beschränkt sind. Die Sicherheitslücke kann aber auch remote aus der Ferne ausgenutzt werden, weshalb theoretisch alle E-Mail-Server mit den betroffenen Exim-Versionen, die über das Internet erreichbar sind, potenziell gefährdet sind.

Angriff aus der Ferne komplizierter

Für einen erfolgreichen Angriff aus der Ferne muss der Angreifer allerdings eine Verbindung zum E-Mail-Server für sieben Tage geöffnet halten, indem er alle paar Minuten ein Byte an den Server schickt. Allerdings sei Exim so kompliziert programmiert, dass nicht sicher ausgeschlossen werden könne, dass nicht ein einfacherer Angriffsweg existiert, der einen schnelleren Zugriff auf den Server ermöglicht. Zudem sei die Gefahr von der konkreten Konfiguration des Mail Transfer Agents abhängig, denn unter Umständen könne dieser so konfiguriert sein, dass Angreifer sofort aus der Ferne Root-Zugriff über die Lücke erhalten können.

Debian installiert Exim in Version 4.89

Debian in der aktuell stabilen Version Stretch installiert Exim standardmäßig in der von der Lücke betroffenen Version 4.89, weshalb Nutzer dieser Distribution ein Update anstoßen sollten.

Die Exim-Sicherheitslücke wird unter der Kennung CVE-2019-10149 geführt. Sie trägt auch den Namen „Return of the WIZard“, womit auf die WIZ- und DEBUG-Schwachstellen aus dem Jahr 1999 erinnert wird, die der neuen recht ähnlich sind.

CVE-2019-10149 Exim 4.87 to 4.91
================================

We received a report of a possible remote exploit.  Currently there is no
evidence of an active use of this exploit.

A patch exists already, is being tested, and backported to all
versions we released since (and including) 4.87.

The severity depends on your configuration.  It depends on how close to
the standard configuration your Exim runtime configuration is. The
closer the better.

Exim 4.92 is not vulnerable.

Next steps:

* t0:    Distros will get access to our non-public security Git repo
         (access is granted based on the SSH keys that are known to us)

* t0+7d: Coordinated Release Date: Distros should push the patched
         version to their repos. The Exim maintainers will publish
         the fixed source to the official and public Git repo.

t0    is expected to be 2019-06-04, 10:00 UTC
t0+7d is expected to be 2019-06-11, 10:00 UTC

UPDATE: Details leaked, CRD is re-scheduled to 2019-06-05 15:15 UTC.


Timeline
--------

* 2019-05-27 Report from Qualys to exim-security list
* 2019-05-27 Patch provided by Jeremy Harris
* 2019-05-29 CVE-2019-10149 assigned from Qualys via RedHat
* 2019-06-03 This announcement to exim-users, oss-security
* 2019-06-04 10:00 UTC Grant restricted access to the non-public Git repo.
* 2019-06-04 This announcement to exim-maintainers, exim-announce, distros
* 2019-06-05 15:15 UTC Release the fix to the public