Агентство по кибербезопасности и защите инфраструктуры США (CISA) предупреждает, что злоумышленники, использующие программы-вымогатели, эксплуатируют CVE-2026-24423 — критическую уязвимость в SmarterMail, позволяющую удаленно выполнять код без аутентификации.
SmarterMail — это почтовый сервер и платформа для совместной работы на базе Windows от компании SmarterTools, устанавливаемая на серверах клиентов. Продукт предоставляет почтовые службы SMTP/IMAP/POP, а также веб-почту, календари, контакты и базовую функциональность групповой работы.
Он часто используется поставщиками управляемых услуг (MSP), малыми и средними предприятиями, а также хостинговыми компаниями, предлагающими услуги электронной почты. По данным SmarterTools, продуктами компании пользуются около 15 миллионов пользователей в 120 странах.
Уязвимость CVE-2026-24423 затрагивает версии SmarterTools SmarterMail до сборки 9511. Успешная эксплуатация может привести к удаленному выполнению кода (RCE) через API ConnectToHub.
Уязвимость была обнаружена и ответственно раскрыта компаниями в сфере кибербезопасности watchTowr, CODE WHITE и VulnCheck, которые уведомили SmarterTools.
Разработчик устранил уязвимость 15 января в сборке SmarterMail Build 9511.
CISA добавила уязвимость в свой каталог известных эксплуатируемых уязвимостей (KEV) и отметила, что она активно используется в кампаниях программ-вымогателей.
«SmarterTools SmarterMail содержит уязвимость, связанную с отсутствием аутентификации для критически важной функции в методе API ConnectToHub», — предупреждает правительственное ведомство.
«Это может позволить злоумышленнику направить экземпляр SmarterMail на вредоносный HTTP-сервер, который будет отдавать вредоносную команду ОС, что может привести к выполнению команды».
CISA предписала федеральным агентствам и организациям, подпадающим под действие руководства BOD 22-01, либо применить обновления безопасности и рекомендованные разработчиком меры по снижению рисков, либо прекратить использование продукта к 26 февраля 2026 года.
Примерно в то же время, когда SmarterTools выпустила исправление для CVE-2026-24423, исследователи watchTowr обнаружили еще одну уязвимость обхода аутентификации, внутренне отслеживаемую как WT-2026-0001.
Эта уязвимость, не имеющая идентификационного номера, позволяет сбрасывать пароль администратора без какой-либо проверки и была использована хакерами вскоре после того, как разработчик выпустил исправление.
Исследователи основывают это на анонимных сообщениях, конкретных вызовах в журналах скомпрометированных систем и конечных точках, которые точно соответствуют уязвимому пути кода.
С тех пор SmarterMail исправила дополнительные уязвимости с рейтингом «критический», поэтому системным администраторам рекомендуется обновиться до последней сборки, в настоящее время 9526, выпущенной 30 января.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
