米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、ランサムウェア攻撃者がCVE-2026-24423を悪用していると警告している。これはSmarterMailに存在する重大な脆弱性で、認証なしでリモートコード実行を可能にする。
SmarterMailは、SmarterToolsが提供するセルフホスト型のWindowsベースのメールサーバーおよびコラボレーションプラットフォームだ。SMTP/IMAP/POPのメールサービスに加え、ウェブメール、カレンダー、連絡先、基本的なグループウェア機能を提供する。
これは、マネージドサービスプロバイダー(MSP)、中小企業、そしてメールサービスを提供するホスティング企業によって一般的に導入されている。SmarterToolsによれば、同社製品は120か国で約1,500万人のユーザーに利用されている。
CVE-2026-24423の欠陥は、ビルド9511より前のSmarterTools SmarterMailに影響し、悪用に成功するとConnectToHub APIを介してリモートコード実行(RCE)につながる可能性がある。
この脆弱性は、watchTowr、CODE WHITE、VulnCheckの各サイバーセキュリティ企業のセキュリティ研究者により発見され、SmarterToolsへ責任ある開示が行われた。
ベンダーは1月15日にSmarterMail Build 9511でこの欠陥を修正した。
CISAは現在、この脆弱性を追加して既知の悪用されている脆弱性(KEV)カタログに掲載し、ランサムウェアキャンペーンで積極的に悪用されているものとして位置付けた。
「SmarterTools SmarterMailには、ConnectToHub APIメソッドにおける重要な機能に対する認証欠如の脆弱性が含まれている」と、政府機関 は警告している。
「これにより攻撃者は、SmarterMailインスタンスの接続先を、悪意のあるOSコマンドを提供する悪意のあるHTTPサーバーに向けることができ、コマンド実行につながる可能性がある。」
CISAは、BOD 22-01ガイダンスに基づく義務を負う連邦機関および組織に対し、2026年2月26日までにセキュリティ更新とベンダー推奨の緩和策を適用するか、または当該製品の使用を停止するよう求めている。
SmarterToolsがCVE-2026-24423を修正したのとほぼ同時期に、watchTowrの研究者は、内部的にWT-2026-0001として追跡されている別の認証バイパスの欠陥を発見した。
識別番号のないこの欠陥は、いかなる検証もなしに管理者パスワードのリセットを可能にし、ベンダーがパッチを公開した直後にハッカーに悪用された。
研究者らは、匿名の情報提供、侵害されたシステムのログにおける特定の呼び出し、そして脆弱なコードパスと完全に一致するエンドポイントに基づいてこれを判断している。
その後、SmarterMailでは「重大」と評価される追加のセキュリティ欠陥も修正されているため、システム管理者は、1月30日にリリースされた現在の9526を含む、最新のビルドへ更新することが推奨される。
