アクティブなパッチ差分解析(パッチ・ディフィング)戦術の顕著な実例として、脅威アクターはSmarterTools SmarterMail向けのセキュリティパッチをリバースエンジニアリングし、パッチ公開から数日以内に重大な認証バイパス脆弱性(WT-2026-0001)を再構築しました。
この脆弱性は現在、実際に悪用されていることが確認されており、公式パッチが利用可能になってからわずか48時間後に証拠が現れました。
WT-2026-0001は未認証の認証バイパスであり、攻撃者は既存の認証情報を所持していなくても、SmarterMailのシステム管理者パスワードをリセットできます。
欠陥のある分岐の認証ロジックは IsSysAdmin パラメータに基づいています。これが true に設定されると、エンドポイントは通常のユーザーパスワードリセットフローに存在するすべてのパスワード検証チェックを回避します。
既存パスワードを検証する標準的なユーザーパスワードリセットとは異なり、管理者のコードパスでは一切の検証が行われません。
管理者として認証されると、攻撃者はSmarterMailの正規の管理機能を悪用してリモートコード実行を達成します。
Volume Mounts の設定機能は任意のオペレーティングシステムコマンドを受け付け、設定を保存するとSYSTEMレベルの権限で実行されます。
パッチ公開から実際の悪用までの圧縮されたタイムラインは、攻撃者が自動または手動のパッチ差分解析を行って脆弱性を再構築したことを強く示唆しています。
SmarterMailを直ちにバージョン9511へアップグレードしてください。パッチ適用済みシステムでは、悪用の試行は「Invalid input parameters」というエラーメッセージで拒否されます。
実際の悪用が確認されている以上、パッチ適用は任意ではなく必須です。SmarterMailを運用している組織は、この更新を重要インフラとして最優先で適用すべきです。
脆弱性の単純さと、機能としてのRCE(リモートコード実行)相当の機能が存在することを踏まえると、WT-2026-0001は未パッチのSmarterMail導入環境に対して完全な侵害ベクターとなります。
メール基盤としてSmarterMailに依存している組織は、疑わしい /api/v1/auth/force-reset-password リクエストについてログを監査し、管理者アカウントのアクセスログを確認して不正な認証イベントがないか直ちに検証してください。