Recent, cercetătorii de la watchTowr au semnalat că o vulnerabilitate din SmarterTools SmarterMail, serverul de e-mail și platforma de colaborare folosită de furnizori de hosting, MSP-uri și firme mici și mijlocii la nivel mondial, este exploatată activ. Problema permite resetarea parolei unui administrator fără autentificare, ceea ce oferă acces complet la serverul găzduit pe Windows, inclusiv posibilitatea de a rula comenzi la nivel de sistem.
Vulnerabilitatea este localizată într-un API numit force-reset-password, care, surprinzător, este intenționat expus fără niciun mecanism de autentificare. Pe 8 ianuarie watchTowr a raportat problema, iar pe 15 ianuarie SmarterMail a lansat o corecție în Build 9511. Cercetătorii au observat totuși că atacatorii au început exploatarea activă la doar două zile după lansarea patch-ului, ceea ce sugerează că cineva a analizat rapid codul actualizat și a găsit metoda de a profita de bug. Ulterior, pe 23 ianuarie, vulnerabilitatea a primit identificatorul CVE-2026-23760 și a fost catalogată ca fiind critică, cu un scor CVSS de 9.3.
Mecanismul tehnic este simplu și periculos: endpointul primește JSON de la client care include o proprietate booleană numită IsSysAdmin. Dacă această valoare este setată pe true, backendul rulează logica de resetare a parolei administratorului. Deși în cerere apare și câmpul OldPassword, serverul nu validează parola veche și nu efectuează controale de securitate suficiente, conform analizei watchTowr. Practic, oricine cunoaște sau ghicește un nume de utilizator cu privilegii de admin poate impune o parolă nouă și prelua contul. Vulnerabilitatea afectează doar conturile administrative, nu utilizatorii obişnuiţi, însă compromiterea unui cont admin permite executarea comenzilor de sistem și, implicit, execuție de cod la distanță cu privilegii înalte. Echipa watchTowr a creat și un proof-of-concept care arată accesul la un shell cu privilegii SYSTEM.
Descoperirea exploatării în mediul real a venit parțial dintr-un pont anonim: cineva a raportat că administratorii observau parole resetate și a indicat un forum unde erau postate jurnale similare. Analiza logurilor partajate a evidențiat cereri către endpointul force-reset-password, consolidând concluzia că atacurile erau în desfășurare. Episodul urmează unei alte descoperiri recente: tot watchTowr identificase cu două săptămâni înainte o problemă pre-auth RCE în SmarterMail, iar acea investigație a condus, în mod oarecum firesc, la scoaterea la iveală și a noii breșe.
SmarterTools afirmă că produsele sale sunt utilizate de aproximativ 15 milioane de utilizatori în 120 de țări, ceea ce înseamnă că impactul potențial este considerabil pentru furnizorii de e-mail găzduit. Recomandarea clară pentru administratorii SmarterMail este să facă upgrade la Build 9511 publicat pe 15 ianuarie, care remediează ambele probleme semnalate. Cercetări paralele au fost publicate și de Huntress, care a documentat propriile observații despre activitatea de exploatare în mediul real.
Build 9511 este versiunea din 15 ianuarie care corectează atât RCE-ul descoperit anterior, cât și problema force-reset-password. Cazul ilustrează cât de rapid se poate transforma un patch într-un ghid pentru atac dacă detaliile sunt analizate de persoane cu intenții rele; actualizările periodice și monitorizarea jurnalelor rămân cele mai practice măsuri pentru cei care administrează servere SmarterMail. Ce măsuri luați pentru a verifica că serverele voastre au fost actualizate și securizate?
Fii primul care comentează