Foto: DTC
Er zijn in de maand oktober verschillende ernstige kwetsbaarheden geconstateerd in mailserversoftware Exim. Kwetsbaarheden in Exim worden al jarenlang actief misbruikt, recent is echter een toename waargenomen in misbruik van kwetsbaarheden in Exim mailserversoftware. De meest kritieke kwetsbaarheid, gemarkeerd als CVE-2023-42115, wordt beoordeeld met een CVSS-score van 9.8. Dit betekent dat het om een zeer ernstige kwetsbaarheid gaat waarbij de kans op misbruik én de potentiële schade groot is.
Wat is Exim?
Exim is software die op veel mailservers wordt gebruikt voor het transport en de aflevering van e-mailberichten. Uit cijfers blijkt dat zo’n 60% van mailservers in de wereld gebruik maakt van Exim. Ook in Nederland gaat het om grote aantallen. Sinds 27 september 2023 notificeerde het DTC 164 keer over kwetsbare Exim-systemen.
Wat is het risico?
Onder de verschillende gevolgen die kunnen voorvloeien uit het misbruiken van kwetsbaarheden in Exim, vallen het op afstand uitvoeren van willekeurige code en het openbaar maken van gevoelige informatie. De meest kritieke kwetsbaarheid maakt het mogelijk zonder authenticatie een kwetsbare Exim-server over te nemen.
Mailservers zijn meestal direct te benaderen vanaf het internet om zo e-mailberichten te kunnen ontvangen en uit te sturen. Dit maakt het voor kwaadwillenden makkelijk om kwetsbare servers te vinden.
Wat kan er gedaan worden?
Er zijn beveiligingsupdates uitgebracht door Exim. Hierin zijn de meest kritieke kwetsbaarheden verholpen. Het gaat hier om Exim-updates 4.96.1 en 4.97. Vanwege de ernst van de kwetsbaarheden is het advies om zo spoedig mogelijk Exim-mailservers te updaten naar de nieuwste versie. Controleer je logs op verdachte activiteiten, zoals mislukte authenticatiepogingen of onverwachte verbindingen van ongebruikelijke IP-adressen. Ook het Nationaal Cyber Security Centum (NCSC) heeft aandacht besteed aan de kwetsbaarheden in Exim.
