SK-CERT Bezpečnostné varovanie V20260123-01
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP:CLEAR |
| CVSS Skóre |
9.8 |
| Identifikátor |
| SmarterTools SmarterMail – aktívne zneužívaná kritická bezpečnostná zraniteľnosť |
| Popis |
| Bezpečnostní výskumníci zo spoločnosti WATCHTOWER varujú pred aktívnym zneužívaním kritickej zraniteľnosti v mailovom serveri a kolaboračnom nástroji SMARTERTOOLS SMARTERMAIL, ktorú by vzdialený, neautentifikovaný útočník mohol zneužiť na reset administrátorských hesiel a získanie neoprávneného prístupu, vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom. Zneužitie zraniteľnosti vyžaduje znalosť existujúceho používateľského mena administrátora a zaslanie špeciálne vytvorenej HTTP požiadavky na /api/v1/auth/force-password-reset. SMARTERTOOLS aktualizácie vydala 15. januára 2025, avšak bez pridelenia CVE identifikátora, čo so sebou prináša dodatočné riziká. Väčšina základných mechanizmov manažmentu zraniteľností a aktualizácií je založená práve na monitorovaní databáz zraniteľností pre aktíva používané v rámci infraštruktúry subjektov. Zraniteľnosti bol po zvýšenom záujme zo strany bezpečnostnej komunity a zákazníkov dodatočne priradený identifikátor CVE-2026-23760. Hackerom sa pravdepodobne reverzným inžinierstvom aktualizácie podarilo pochopiť technickú podstatu zraniteľnosti a vytvoriť fungujúci exploit. WatchTowr taktiež zverejnili proof-of-concept kód demonštrujúci mechanizmus jej zneužitia. |
| Dátum prvého zverejnenia varovania |
| 22.1.2026 |
| CVE |
| CVE-2026-23760 |
| IOC |
| IP Address 142.111.152[.]57 142.111.152[.]229 155.2.215[.]66 142.111.152[.]54 142.111.152[.]53 142.111.152[.]222 142.111.152[.]159 142.111.152[.]165 155.2.215[.]70 142.111.152[.]49 155.2.215[.]74 142.111.152[.]160 155.2.215[.]73 142.111.152[.]51 155.2.215[.]60 142.111.152[.]46 142.111.152[.]45 142.111.152[.]155 142.111.152[.]151 155.2.215[.]68 155.2.215[.]72 155.2.215[.]67 142.111.152[.]47 142.111.152[.]59 142.111.152[.]56 142.111.152[.]154 142.111.152[.]150 155.2.215[.]62 User-Agent (predvolený pre Python requests modul vo verzii 2.32.4) python-requests/2.32.4 File C:\Program Files (x86)\SmarterTools\SmarterMail\Service\wwwroot\result.txt Endpoints targeted by POST Requests /api/v1/auth/force-reset-password /api/v1/auth/authenticate-user /api/v1/settings/sysadmin/event-hook /api/v1/settings/sysadmin/domain-put /api/v1/settings/sysadmin/domain-delete/google.abc.com/true /api/v1/settings/sysadmin/event-hook-delete |
| Zasiahnuté systémy |
| SmarterTools SmarterMail vo verzii staršej ako Build 9511 |
| Následky |
| Vykonanie škodlivého kódu Úplné narušenie dôvernosti, integrity a dostupnosti systému |
| Odporúčania |
| Administrátorom a používateľom odporúčame bezodkladnú aktualizáciu zraniteľných systémov a taktiež limitovanie telnet prístupu len na zoznam dôveryhodných IP adries. Taktiež odporúčame vykonať kontrolu dostupných logov na prítomnosť IOC a pokusov o zneužitie zraniteľnosti. V prípade, že aktualizáciu nie je možné vykonať, zraniteľnosť možno mitigovať aj deaktiváciou telnetd servera alebo použitím vlastnej custom login(1) funkcie, ktorá nepovoľuje použitie parametra -f. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. |
« Späť na zoznam
