Fix steht bereit: Schwachstelle in Exim gefährdet Mailserver weltweit

Allein in Deutschland sind potenziell mehr als 160.000 online erreichbare E-Mail-Server von einer neu aufgedeckten Schwachstelle in der weitverbreiteten MTA-Software (Mail Transfer Agent) Exim betroffen. Weltweit sind es sogar über 3,5 Millionen Systeme. Ein Patch ist bisher nicht in Sicht.

Eine RCE-Schwachstelle im SMTP-Dienst von Exim

Entdecker der als CVE-2023-42115 registrierten und mit einem CVSS von 9,8 als kritisch bewerteten Sicherheitslücke ist ein anonymer Sicherheitsforscher, der seine Erkenntnisse am Mittwoch über die Zero Day Initiative (ZDI) veröffentlicht hat. Der Beschreibung der Schwachstelle zufolge ermöglicht sie Angreifern die Ausführung von Schadcode aus der Ferne (RCE) – und das ohne jegliche Authentifizierung.

Das Problem liege demnach in dem mit dem TCP-Port 25 verbundenen SMTP-Dienst von Exim, in dem keine ordnungsgemäße Validierung der vom Benutzer bereitgestellten Daten stattfinde. Infolgedessen seien Schreibvorgänge über das Ende eines Puffers hinaus möglich. „Ein Angreifer kann diese Sicherheitslücke ausnutzen, um Code im Kontext des Dienstkontos auszuführen“, heißt es weiter in der Meldung.

Kein Patch vorhanden – nach mehr als 15 Monaten

Wenig erfreulich ist indes die kaum vorhandene Reaktion der zuständigen Entwickler auf die Meldung der Schwachstelle, die dem ZDI zufolge schon am 14. Juni 2022 stattgefunden habe. Denn eine Antwort gab es wohl zunächst gar nicht, bis die Organisation nach rund zehn Monaten nochmal nachhakte und um ein Update bat. Daraufhin habe ein Exim-Entwickler um die erneute Übermittlung der Berichte gebeten. Nachdem die ZDI dieser Bitte nachgekommen sei, folgte erneut eine Funkstille von mehreren Monaten.

Am vergangenen Montag wies die ZDI dann darauf hin, sie werde die Exim-Schwachstelle am Mittwoch, dem 27. September 2023, offenlegen – was sie dann auch tat, nachdem es offenbar erneut keinerlei Reaktion gab. Sicherheitsupdate? Nicht vorhanden. Die aktuellste Exim-Version ist 4.96, veröffentlicht am 25. Juni 2022.

Weltweit über 3,5 Millionen Exim-Server erreichbar

Ein Problem ist der nach wie vor nicht vorhandene Patch insbesondere deshalb, weil Exim nicht nur sehr weit verbreitet, sondern die damit betriebenen Mailserver aufgrund ihres Einsatzzweckes üblicherweise auch über das Internet erreichbar sind. Laut einer Umfrage von Security Space, deren Auswertung am 1. September erschien, vertrauen 342.337 von insgesamt 602.048 erfassten und über das Internet erreichbaren Mailservern auf Exim. Damit hat die MTA-Software derzeit einen Marktanteil von annähernd 57 Prozent. Kaum verwunderlich, ist Exim doch auf Debian-basierten Linux-Systemen der Standard-MTA.

Wie groß die absoluten Zahlen sind, zeigt sich anhand einer entsprechenden Shodan-Suche, die Bleeping Computer in einem Bericht geteilt hat. Weltweit sind demnach aktuell über 3,5 Millionen Exim-Server über das Internet erreichbar. Angeführt wird das Feld von den USA, doch auch Deutschland steht mit mehr als 160.000 Exim-Servern immerhin auf Platz 3.

Was tun ohne Patch?

Wer einen Exim-Mailserver betreibt, kann im Grunde derzeit nicht viel tun, um sein System vor einer Ausnutzung von CVE-2023-42115 zu schützen. „In Anbetracht der Art der Schwachstelle besteht die einzige nennenswerte Abhilfestrategie darin, die Interaktion mit der Anwendung einzuschränken“, heißt es bei der ZDI dazu. Konkret bedeutet das wahrscheinlich so viel wie: Port 25 besser vorerst schließen. Eingehende Verbindungen auf Port 587 oder 465 scheinen von dem Problem ausgenommen zu sein.

Der erste Fall einer kritischen Sicherheitslücke in Exim ist dies gewiss nicht. Schon im Jahr 2019 hatten Sicherheitsforscher eine RCE-Schwachstelle in der Software entdeckt, durch die Angreifer als root Befehle auf anfälligen Servern ausführen konnten. Nur wenige Tage später folgten damals Berichte über die aktive Ausnutzung der Lücke, wenngleich Administratoren damals einen entscheidenden Vorteil hatten: Es gab schon einen Patch.