出典:Pattara / Alamy Stock Photo
SmarterToolsは最近、同社が先月対処した脆弱性の結果として発生した侵害を公表した。ソフトウェア企業の製品はWarlockによって侵害された。Warlockは、昨年初めて出現したランサムウェアグループである。
CVE-2026-24423は、メールサーバーSmarterMailのConnectToHub APIメソッドに存在する、認証不要のリモートコード実行(RCE)脆弱性である。この脆弱性により、攻撃者はSmarterMailインスタンスの接続先を脅威アクターが管理する悪意あるHTTPサーバーに向けることができ、そのサーバーが悪意あるコマンドを配信できる。これはCVE-2026-23760と併せて公開された。CVE-2026-23760は認証バイパスの脆弱性で、認証されていない攻撃者がシステム管理者アカウントのパスワードリセットを強制できる可能性がある。これによりSmarterMailインスタンスを完全に侵害できる。
両方のバグはいずれもCVSSの深刻度スコアが9.3のクリティカルで、どちらも1月15日のSmarterMailリリース9511で対処された。
これらの脆弱性は、SmarterMailを販売するSmarterToolsを侵害するために悪用された。SmarterToolsの最高執行責任者(COO)Derek Curtisは先週、1月29日に発生したデータ侵害について、同社がどのように被害を受け、どのように対応したかを詳細に説明するブログ記事を公開した。
同幹部によると、SmarterToolsはネットワーク全体にSmarterMailをインストールしたサーバーおよび仮想マシンを30台保有していたが、更新されていない1台の存在に気付いていなかった。侵害につながったのは、その脆弱なサーバーだった。
この攻撃の結果、同社のSmarterMail顧客の一部も被害を受けた。同社は、すべての顧客が直ちに修正版へ更新し、(ブログに含まれる)侵害指標(IoC)を用いて侵害の兆候がないか調査すべきだと述べた。
SmarterTools侵害の余波
Curtisは、侵害が発生した場合、同社はネットワークを隔離すると説明しており、その結果、インシデント対応中も多くのサービスがオンラインのままだったという。業務アプリケーションやアカウントデータも影響を受けなかったと、彼は記している。
侵害されたのは主にSmarterToolsのオフィスネットワークで、加えてラボおよび品質管理作業に使用されるデータセンターも侵害された。「データセンターでは、当社のPortalとHosted SmarterTrackネットワークをホストしており、これらはActive Directoryを介して接続されていました」とCurtisは述べた。「そこで大きな影響はあまり見られませんでしたが、念のため、6時間前の最新バックアップからそれらのサーバーの一部を復元しました」
ネットワーク上のWindowsサーバー12台は「侵害されたように見えた」。これらのサーバーでは、ウイルススキャナーが大半の試行をブロックした。同社サーバーの大部分を占めるLinuxサーバーはいずれも影響を受けなかった。
インシデント対応の一環として、SmarterToolsは両拠点のすべてのサーバーを停止し、評価が完了するまでインターネットアクセスをすべて無効化した。同社はネットワークを再構成し、可能な限りWindowsを排除し、Active Directoryを使用しないようにした。また、すべてのネットワークパスワードをリセットした。SmarterToolsは、脆弱性の検出や暗号化の防止など、対応プロセスにおけるSentinel Oneの役割を称賛した。これはランサムウェアが関与していた可能性を示唆する詳細である。
「現時点では、SmarterMailに関して重大な既知のセキュリティ問題はありません」とCurtisは書いた。「加えて、セキュリティ更新の伝達方法における透明性を改善するため、集中的に取り組んでいます。この状況は当社史上前例がなく、顧客の助けを得ながら多くを学んでいます。再発は想定していませんが、将来のいかなるインシデントにも、これまで以上に積極的かつ効果的に対処します」
Dark ReadingはSmarterToolsに対し、侵害から得た教訓についていくつか質問したが、記事掲載時点で同社からの回答はなかった。
脅威アクターがSmarterMail顧客を標的に
SmarterMailの顧客は、中小企業(SMB)および企業であり、Microsoft Exchangeの代替として同サーバーに依存している。従来のMicrosoft Exchangeのオンプレミス展開には深刻な脆弱性が相応に存在してきたが、CVE-2026-24423とCVE-2026-23760はSmarterToolsだけにとどまらない。
Curtisによれば、中国拠点のランサムウェアアクターであるWarlock Groupが同社を侵害し、「顧客マシン上でも同様の活動を確認している」という。脅威アクターはアクセスを得るとファイルをインストールし、最大1週間待ってから次の行動に移る。
彼の説明では、初期侵害が目に見える証拠が示唆するよりも早い段階で起きていたため、更新していたにもかかわらず侵害を受けた顧客もいたという。「彼らはしばしばActive Directoryサーバーの掌握を試み、新しいユーザーを作成します。そこからWindowsマシン全体にファイルを配布し、データを暗号化するファイルの実行を試みます」とブログ記事にはある。Warlock Groupは主にWindows環境を標的にしていると考えられている。
テクノロジーベンダーが自社製品の脆弱性を通じて侵害されることは日常的ではないが、SmarterToolsが示すように起こり得る。組織は、SmarterMailの導入状況を定期的に棚卸しするとともに、ネットワークセグメンテーションなどの追加の強化策を講じることを検討すべきだ。
翻訳元: https://www.darkreading.com/application-security/warlock-gang-breaches-smartertools-smartermail-bugs
