Honderdduizenden e-mailservers kwetsbaar door zeroday-lek in Exim

De kwetsbaarheden zijn door een anonieme beveiligingsonderzoeker gemeld via het Zero Day Initiative (ZDI) van Trend Micro. De meest ernstige kwetsbaarheid (CVE-2023-42115) zit in de SMTP-service, die standaard op TCP-poort 25 luistert. Het systeem valideert data die gebruikers aanleveren via de SMTP-service niet naar behoren. Het gaat om een zogeheten 'Out-of-bounds Write'-kwetsbaarheid. Indien een aanvaller deze uitbuit, kan dit leiden tot corrupte data of crashende software. Ook kunnen kwaadwillenden op afstand code uitvoeren.

Lange tijd geen actie ondernomen

Opvallend is dat de kwetsbaarheid al in juni 2022 is ontdekt en gemeld aan Exim. De fabrikant van de software voor e-mailservers lijkt echter geen actie te hebben ondernomen op basis van deze melding; ZDI vroeg in april 2023 om een update, maar Exim bleek deze niet te kunnen geven. Wel vroeg het bedrijf ZDI de melding opnieuw in te dienen, wat ZDI enkele weken later heeft gedaan. ZDI vroeg vervolgens 25 september opnieuw om een update, en meldde hierbij aan Exim op 27 september informatie over de zeroday te zullen publiceren.

Naar schatting zijn honderdduizenden e-mailservers kwetsbaar voor de kwetsbaarheid; Exim is de meest populaire MTA-software ter wereld. ook is Exim de standaard MTA-software op de Linux-distro Debian.

Drie zerodays zijn nog altijd niet verholpen

Ook twee andere zerodays zijn door het Exim-team gedicht: het remote code execution-lek CVE-2023-42114 en het lek CVE-2023-42116, dat tot informatielekken kon leioden. Een drietal andere zerodays die door ZDI zijn gemeld zijn nog niet verholpen:

• CVE-2023-42117: Exim Improper Neutralization of Special Elements Remote Code Execution Vulnerability (CVSS v3.0 8.1)
• CVE-2023-42118: Exim libspf2 Integer Underflow Remote Code Execution Vulnerability (CVSS v3.0 7.5)
• CVE-2023-42119: Exim dnsdb Out-Of-Bounds Read Information Disclosure Vulnerability (CVSS v3.0 3.1)