IT管理ソフトウェア企業のSmarterToolsは、自社のSmarterMailメールサーバーの未パッチ適用インスタンスを通じてランサムウェア攻撃の被害に遭った。
このインシデントは1月29日に発生し、同社のオフィスネットワークと、品質管理テストシステム、SmarterToolsのポータル、ならびにHosted SmarterTrackネットワークをホストするデータセンターに影響を及ぼした。
同社のウェブサイト、ショッピングカート、My Accountポータル、その他のサービスは別のネットワークでホストされていたため、影響を受けなかった。
侵入経路について、SmarterToolsのCCOであるDerek Curtis氏が明らかにしたところによると、同社のSmarterMail製品の未パッチ適用インスタンスを実行していたVMだったという。ハッカーはメールサーバーを侵害し、データセンター内で見つけられるWindowsサーバーへ横展開し、そのうち12台を侵害した。
「侵害に最初に気づいた際、私たちは直ちに2拠点のすべてのサーバーを停止し、侵害のあらゆる側面を完全に評価し、サーバーを排除するか、または安全な状態に復元するまで、インターネット接続をすべて無効化しました」とCurtis氏は説明した。
ハッカーがWindowsシステムのみを標的にしていたため、SmarterToolsは可能な限り多くのシステムを排除し、環境からActive Directoryサービスを削除するとともに、ネットワーク全体でパスワードをリセットした。
Curtis氏によれば、この攻撃はWarlockとして知られるランサムウェアグループによるもので、同グループは2025年6月に出現し、中国を拠点に活動しているとみられている。
ハッカーはおそらく、CVE-2026-24423(CVSSスコア9.3)を悪用したとみられる。これは認証不要のリモートコード実行(RCE)脆弱性で、1月15日に、悪用されていた他の2つの欠陥、すなわちCVE-2026-23760およびCVE-2025-52691とともに修正された。
先週、米国のサイバーセキュリティ機関CISAは、CVE-2026-24423がランサムウェア攻撃で悪用されていると警告したが、観測された悪用の詳細は明らかにしなかった。
SmarterToolsが、Warlock一味が同社の一部顧客も侵害したと述べていることから、これらがCISAが言及していたランサムウェア攻撃である可能性が高い。
顧客には、できるだけ早くSmarterMailを最新バージョンへ更新することが推奨されている。Curtis氏は、悪用されたセキュリティ欠陥は1月15日にビルド9518で対処された一方、追加の改善を加えて修正を補完するため、SmarterMailビルド9526が1月22日にリリースされたと指摘した。
「すべての顧客がインストールを最新の状態に保つことを確実にするのは依然として難しい。私たちがリリースする各ビルドには意味があります。小規模なセキュリティ更新であっても、過剰なサーバーメモリやCPUを消費しかねないサービス拒否攻撃などの問題を防ぐ助けになります」とCurtis氏は述べている。
翻訳元: https://www.securityweek.com/smartertools-hit-by-ransomware-via-vulnerability-in-its-own-product/
