Toename actief misbruik kritieke kwetsbaarheden in Exim mailserversoftware

Er zijn in de maand oktober verschillende ernstige kwetsbaarheden geconstateerd in mailserversoftware Exim. Kwetsbaarheden in Exim worden al jarenlang actief misbruikt, recent is echter een toename waargenomen in misbruik van kwetsbaarheden in Exim mailserversoftware. De meest kritieke kwetsbaarheid, gemarkeerd als CVE-2023-42115, wordt beoordeeld met een CVSS-score van 9.8. Dit betekent dat het om een zeer ernstige kwetsbaarheid gaat waarbij de kans op misbruik én de potentiële schade groot is.

Wat is Exim?

Exim is software die op veel mailservers wordt gebruikt voor het transport en de aflevering van e-mailberichten. Uit cijfers blijkt dat zo’n 60% van mailservers in de wereld gebruik maakt van Exim. Ook in Nederland gaat het om grote aantallen. Sinds 27 september 2023 notificeerde het DTC 164 keer over kwetsbare Exim-systemen.

Wat is het risico?

Onder de verschillende gevolgen die kunnen voorvloeien uit het misbruiken van kwetsbaarheden in Exim, vallen het op afstand uitvoeren van willekeurige code en het openbaar maken van gevoelige informatie. De meest kritieke kwetsbaarheid maakt het mogelijk zonder authenticatie een kwetsbare Exim-server over te nemen.
Mailservers zijn meestal direct te benaderen vanaf het internet om zo e-mailberichten te kunnen ontvangen en uit te sturen. Dit maakt het voor kwaadwillenden makkelijk om kwetsbare servers te vinden.

Wat kan ik doen?

Er zijn beveiligingsupdates uitgebracht door Exim. Hierin zijn de meest kritieke kwetsbaarheden verholpen. Het gaat hier om Exim-updates 4.96.1 en 4.97. Vanwege de ernst van de kwetsbaarheden is het advies om zo spoedig mogelijk Exim-mailservers te updaten naar de nieuwste versie. Controleer je logs op verdachte activiteiten zoals mislukte authenticatiepogingen of onverwachte interacties van ongebruikelijke IP-adressen. Ook het Nationaal Cyber Security Centum (NCSC) heeft aandacht besteed aan de kwetsbaarheden in Exim.

Exim standaard in veel e-mailservers

Let op: Exim is standaard in onder andere verschillende Linux distributies te vinden en kan ook in applicaties of servers gebruikt worden die bekend staan onder een andere naam. Als jouw organisatie gebruikmaakt van een eigen mailserver maar je niet zeker weet of dit op basis van de Exim-software is, bespreek dit dan met je IT-dienstverlener of IT-beheerder.

Veilig digitaal ondernemen

Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de CyberVeilig Check voor zzp en mkb.