Beheerders van Exim-mailservers zijn gewaarschuwd voor meerdere kritieke kwetsbaarheden in de populaire mailserversoftware die wereldwijd op miljoenen servers draait. Het gaat in totaal om 21 beveiligingslekken die deels al sinds 2004 in Exim aanwezig zijn en "21Nails" worden genoemd.

Tien van deze kwetsbaarheden zijn op afstand door aanvallers te misbruiken en maken het mogelijk om code op kwetsbare mailservers uit te voeren. Via de overige elf beveiligingslekken kan een aanvaller die toegang tot de server heeft zijn rechten verhogen en bijvoorbeeld code als root uitvoeren. Door het combineren van de kwetsbaarheden kan een ongeauthenticeerde aanvaller op afstand code uitvoeren en rootrechten op de mailserver krijgen.

De kwetsbaarheden werden vorig jaar oktober door securitybedrijf Qualys aan het Exim-ontwikkelteam gemeld. "Vanwege verschillende interne redenen duurde het langer dan normaal voor het Exim-ontwikkelteam om deze problemen tijdig te verhelpen", zo laat Exim-ontwikkelaar Heiko Schlittermann op de Exim-mailinglist weten.

Qualys heeft technische details over de 21 kwetsbaarheden gepubliceerd maar zegt geen exploits voor de beveiligingslekken openbaar te zullen maken. Het securitybedrijf moedigt beveiligingsonderzoekers aan om hun eigen exploits te ontwikkelen. De vandaag gepubliceerde advisory zou hiervoor voldoende informatie moeten bevatten. Beheerders wordt opgeroepen om te updaten naar Exim 4.94.2, waarin de gevonden problemen zijn verholpen.

Kwetsbaarheden in Exim zijn in het verleden geregeld door aanvallers misbruikt. Zo werd de Russische inlichtingendienst GRU vorig jaar nog door de Amerikaanse geheime dienst NSA beschuldigd van het aanvallen van kwetsbare Exim-mailservers. Volgens zoekmachine Shodan zijn er vier miljoen Exim-servers vanaf het internet toegankelijk.