セキュリティ研究者によると、脅威アクターはSmarterToolsのSmarterMail(企業向けメールおよびコラボレーションサーバー)に存在する認証バイパス脆弱性について、パッチ公開からおよそ2日後に悪用を開始したという。
CVE-2026-23760(CVSSスコア9.3)として追跡されているこのセキュリティ欠陥は、アプリケーションのパスワードリセットAPIに影響し、攻撃者が認証なしでパスワードをリセットできる。
この問題は、force-reset-password関数がユーザー制御パラメータを含む未認証リクエストを許可し、管理者アカウントに対して古いパスワードやリセットトークンを検証しないために存在する。
これにより、管理者のユーザー名を知っている攻撃者は、認証なしで当該アカウントのパスワードをリセットし、脆弱なSmarterMailインスタンスを掌握できる。
WatchTowrによると、この欠陥は、システム管理者がOSコマンドを実行できるSmarterMailの機能を通じて、リモートコード実行(RCE)に悪用可能だという。
管理者アカウントをリセットした後、攻撃者は設定メニューで新しいボリュームを作成し、Volume Mount Commandフィールドにコマンドを含めることができる。コマンドは基盤となるOSによって実行されるため、攻撃者はホスト上で完全なRCEを達成する。
この認証バイパス問題は、1月15日にリリースされたSmarterMailバージョン9511で修正された。
WatchTowrは、CVE-2026-23760が約1週間にわたり広範に悪用されているのを確認しており、脅威アクターが修正内容をリバースエンジニアリングしたと推測している。
「私たちは、1週間も経たないうちにパッチが提供された新たなバグが、活発かつ広範に悪用されているのを確認しています。修正はすでにリバースエンジニアリングされており、悪用はそのまま完全なRCEにつながります」と、WatchTowrの創業者兼CEOであるベンジャミン・ハリス氏はSecurityWeekに語った。
木曜日には、Huntressが、SmarterMailの認証バイパスを狙う攻撃において、ハッカーがアプリケーションのSystem Events機能を悪用していると警告した。
同サイバーセキュリティ企業は、脅威アクターが脆弱なインスタンスに対してHTTP POSTリクエストを送信し、CVE-2026-23760を悪用して有効なアクセストークンを取得し、悪意のあるSystem Eventを設定し、SmarterMailに新しいドメインを追加し、クリーンアップ操作を実行しているのを観測した。
Huntressによれば、この悪意のあるSystem Eventは偵察を目的としている可能性が高く、新しいドメインの追加によってトリガーされたという。
ユーザーは、できるだけ早くSmarterMailインスタンスを修正済みリリースへ更新すべきだ。
「この脆弱性の深刻度、活発な悪用、そして追加のCVE-2025-52691の悪用が実環境で観測されていることを踏まえると、企業はSmarterMailの更新の展開を優先し、古いシステムに感染の兆候がないか確認すべきです」とHuntressは指摘している。
翻訳元: https://www.securityweek.com/fresh-smartermail-flaw-exploited-for-admin-access/
