非営利のセキュリティ組織Shadowserverは、オンライン上で6,000台を超えるSmarterMailサーバーが公開されており、重大な認証バイパス脆弱性を悪用する攻撃に対して脆弱である可能性が高いことを発見しました。
サイバーセキュリティ企業watchTowrはこのセキュリティ欠陥を開発元SmarterToolsに1月8日に報告し、同社は識別子を割り当てないまま1月15日に修正をリリースしました。
この脆弱性は後にCVE-2026-23760が割り当てられ、重大(Critical)と評価されました。未認証の攻撃者が管理者アカウントを乗っ取り、ホスト上でリモートコード実行を獲得できるため、脆弱なサーバーを制御下に置くことが可能になります。
「SmarterTools SmarterMailのビルド9511より前のバージョンには、パスワードリセットAPIに認証バイパスの脆弱性が含まれています」と、木曜日にNISTの国家脆弱性データベースに追加された勧告には記載されています。
「force-reset-passwordエンドポイントは匿名リクエストを許可し、システム管理者アカウントをリセットする際に既存のパスワードまたはリセットトークンの検証に失敗します。未認証の攻撃者は、標的となる管理者ユーザー名と新しいパスワードを指定してアカウントをリセットでき、その結果、SmarterMailインスタンスが完全に管理者権限で侵害されます。」
watchTowrは、未パッチのサーバーで攻撃者がリモートコード実行を獲得できる可能性がある別のSmarterMailの重大な事前認証脆弱性 (CVE-2025-52691)を発見した2週間後に、この認証バイパス欠陥を発見しました。
月曜日、Shadowserverは明らかにし、進行中のCVE-2026-23760攻撃に対して「脆弱である可能性が高い」とフラグ付けされた6,000台超のSmarterMailサーバー(北米で4,200台超、アジアで約1,000台)を追跡していると述べました。
Macnicaの脅威リサーチャーである関山豊氏も、同氏のスキャンでCVE-2026-23760攻撃に対して依然として脆弱なSmarterMailインスタンスが8,550件超返ってきたとBleepingComputerに伝えています。
管理者アカウントのユーザー名を事前に知っているだけでよい概念実証(PoC)エクスプロイトを共有したwatchTowrは、この欠陥が1月21日に実環境で悪用されているとの情報提供を受けたと述べました。サイバーセキュリティ企業Huntressは翌日、同社の報告を確認し、大量かつ自動化された悪用を示唆する悪意ある攻撃が見られると指摘しました。
月曜日、CISAはCVE-2026-23760を追加し、現在悪用されている脆弱性の一覧に掲載しました。また、米国政府機関に対し、2月16日までの3週間以内にサーバーを保護するよう命じました。
「この種の脆弱性は悪意あるサイバーアクターにとって頻繁に利用される攻撃ベクターであり、連邦政府全体に重大なリスクをもたらします」とCISAは警告しました。「ベンダーの指示に従って緩和策を適用し、クラウドサービスについては適用可能なBOD 22-01のガイダンスに従うか、緩和策が利用できない場合は製品の使用を中止してください。」
昨日、Shadowserverはまた、GNU Inetutilsのtelnetdサーバーにおける重大な認証バイパスのセキュリティ欠陥を狙った攻撃が続く中で、Telnetのフィンガープリントを持つIPアドレスが約80万件見つかったと報告しました。Telnetのフィンガープリントを持つIPアドレスが約80万件見つかった
