ハッカーが、SmarterToolsのメールサーバー/コラボレーションツール「SmarterMail」に存在する認証バイパス脆弱性の悪用を開始しており、管理者パスワードのリセットが可能になります。
未認証の攻撃者がシステム管理者のパスワードをリセットして完全な権限を取得できる、SmarterTools SmarterMailの認証バイパス脆弱性が、現在、実環境で積極的に悪用されています。
問題は、認証なしで意図的に公開されているforce-reset-password APIエンドポイントにあります。
サイバーセキュリティ企業watchTowrの研究者は1月8日にこの問題を報告し、SmarterMailは識別子が割り当てられないまま、1月15日に修正をリリースしました。
問題が対処された後、研究者は脅威アクターがわずか2日後に悪用を開始した証拠を発見しました。これは、ハッカーがパッチをリバースエンジニアリングし、この欠陥を悪用する方法を見つけたことを示唆しています。
SmarterMailは、SmarterToolsが開発したセルフホスト型のWindowsメールサーバー/コラボレーションプラットフォームで、SMTP/IMAP/POPメール、Webメール、カレンダー、連絡先、基本的なグループウェア機能を提供します。
通常、マネージドサービスプロバイダー(MSP)、中小企業、メールサービスを提供するホスティング事業者によって利用されています。SmarterToolsは、自社製品のユーザーが120カ国で1,500万人いると主張しています。
CVE未採番のこの欠陥は、APIエンドポイント「force-reset-password」が攻撃者が制御可能なJSON入力を受け付けることに起因します。これには’IsSysAdmin’というbool型プロパティが含まれており、これを‘true’に設定すると、バックエンドがシステム管理者のパスワードリセット処理を実行するよう強制されます。
しかしwatchTowrの研究者が発見したとおり、この仕組みはセキュリティ制御を一切行わず、リクエストに’OldPassword’フィールドが存在するにもかかわらず、古いパスワードの検証も行いません。
その結果、管理者ユーザー名を知っている、または推測できる者であれば誰でも新しいパスワードを設定してアカウントを乗っ取ることができます。
研究者は、この欠陥は通常ユーザーではなく管理者レベルのアカウントのみに影響すると指摘しています。
管理者レベルのアクセスがあれば、攻撃者はOSコマンドを実行でき、ホスト上で完全なリモートコード実行(RCE)を得られます。
watchTowrの研究者は、SYSTEMレベルのシェルアクセスを実証する概念実証(PoC)エクスプロイトを作成しました。
出典: watchTowr
研究者は、匿名ユーザーから「誰かが管理者パスワードをリセットしている」との情報提供を受け、この脆弱性が実環境で悪用されていることを知りました。
主張を裏付けるため、情報提供者はwatchTowrの研究者に、同様の状況を説明するフォーラム投稿を示しました。
共有されたログを調査したところ、これらの攻撃が「force-reset-password」エンドポイントを標的にしていたことが明らかになり、この問題が現在も積極的に悪用されているという結論を裏付けました。
出典: watchTowr
2週間前、watchTowrはSmarterMailにおける認証前RCEの重大な欠陥(CVE-2025-52691として追跡)を発見しており、それが今回の最新の問題の発見につながりました。
SmarterMailのユーザーには、両方の問題に対処した1月15日リリースの最新バージョンであるBuild 9511へアップグレードすることが推奨されます。
