Команда DE&TH (Detection Engineering and Threat Hunting, инжиниринг обнаружения и поиск угроз) компании Huntress сообщила об обнаружении в реальной среде эксплуатации критической уязвимости в почтовом сервере SmarterMail от SmarterTools. Уязвимость, получившая идентификатор CVE-2026-23760, позволяет злоумышленникам захватывать привилегированные учетные записи администраторов, что в итоге приводит к полному удаленному выполнению кода (RCE, Remote Code Execution) на уязвимых серверах. Эксперты настоятельно рекомендуют всем пользователям SmarterMail немедленно обновиться до версии Build 9511, выпущенной 15 января 2026 года, так как все более ранние сборки уязвимы.
Описание
Важно отметить, что эта угроза существует параллельно с продолжающейся массовой эксплуатацией другой уязвимости в том же продукте - CVE-2025-52691. Она связана с возможностью произвольной загрузки файлов и также ведет к RCE. Таким образом, инфраструктура SmarterMail в настоящее время подвергается двойному прессингу со стороны киберпреступников. Huntress связалась с разработчиком, SmarterTools, и временно отложила публикацию, так как информация об CVE-2026-23760 уже находилась в процессе раскрытия другой исследовательской группой, WatchTowr. Тем не менее, специалисты Huntress зафиксировали в дикой среде иной, отличный от описанного WatchTowr, метод достижения удаленного выполнения кода после успешного захвата аккаунта.
Детальный анализ атаки
Согласно отчету Huntress, атака начинается с эксплуатации уязвимости захвата учетной записи. Злоумышленники отправляют специально сформированный HTTP POST-запрос на эндпоинт "/api/v1/auth/force-reset-password". Ключевая проблема заключается в том, что приложение в уязвимых версиях не проверяет корректность старого пароля при его сбросе для привилегированных пользователей. Это позволяет без какой-либо аутентификации изменить пароль администратора системы.
Получив таким образом доступ к учетным данным администратора, злоумышленники используют их для аутентификации в системе через запрос к "/api/v1/auth/authenticate-user". После этого атака переходит в следующую фазу. Используя легитимные права высокого уровня, злоумышленники настраивают в функционале System Events (системных событий) вредоносный триггер. Конкретно, через запрос "POST /api/v1/settings/sysadmin/event-hook" создается событие, которое, как предполагают исследователи, настроено на выполнение команд злоумышленника при добавлении в систему нового домена.
Затем, чтобы немедленно активировать этот триггер и выполнить свой вредоносный код (полезную нагрузку, payload), атакующие отправляют запрос "POST /api/v1/settings/sysadmin/domain-put", добавляя фиктивный домен. Это позволяет им выполнять на сервере произвольные команды, часто начинающиеся с разведывательных действий, таких как сбор информации о системе. Завершив работу, атака включает в себя этап очистки следов: удаление созданного домена и системного события через соответствующие запросы "domain-delete" и "event-hook-delete". Весь этот цикл запросов выполняется автоматически и в очень сжатые сроки на множественных системах, что явно указывает на массовый, автоматизированный характер эксплуатации.
Техническая суть уязвимости и рекомендации
Проведенный Huntress сравнительный анализ бинарных файлов версий 9504 (от 8 января) и 9511 (от 15 января) четко показывает причину уязвимости. В патченной версии была добавлена обязательная проверка валидности старого пароля при вызове функции сброса, которая отсутствовала ранее. Исследователям удалось создать работающий эксплойт, наглядно демонстрирующий возможность смены пароля привилегированного пользователя без авторизации.
Учитывая критическую степень опасности уязвимости CVE-2026-23760, факт ее активной эксплуатации в реальном мире, а также одновременные атаки через CVE-2025-52691, компаниям-пользователям SmarterMail необходимо расценивать обновление системы как задачу наивысшего приоритета. Промедление с установкой патча создает крайне высокие риски для безопасности всей ИТ-инфраструктуры. Помимо немедленного обновления, организациям следует провести аудит своих систем SmarterMail на предмет возможных признаков уже состоявшегося компрометирования, обращая особое внимание на логи приложения и неожиданные изменения в конфигурациях или учетных записях.
Индикаторы компрометации
IPv4
- 142.111.152.150
- 142.111.152.151
- 142.111.152.154
- 142.111.152.155
- 142.111.152.159
- 142.111.152.160
- 142.111.152.165
- 142.111.152.222
- 142.111.152.229
- 142.111.152.45
- 142.111.152.46
- 142.111.152.47
- 142.111.152.49
- 142.111.152.51
- 142.111.152.53
- 142.111.152.54
- 142.111.152.56
- 142.111.152.57
- 142.111.152.59
- 155.2.215.60
- 155.2.215.62
- 155.2.215.66
- 155.2.215.67
- 155.2.215.68
- 155.2.215.70
- 155.2.215.72
- 155.2.215.73
- 155.2.215.74
User-Agents
- python-requests/2.32.4
URI (POST)
- /api/v1/auth/force-reset-password
- /api/v1/auth/authenticate-user
- /api/v1/settings/sysadmin/event-hook
- /api/v1/settings/sysadmin/domain-put
- /api/v1/settings/sysadmin/domain-delete/google.abc.com/true
- /api/v1/settings/sysadmin/event-hook-delete
Файл, содержащий результаты разведки.
- C:\Program Files (x86)\SmarterTools\SmarterMail\Service\wwwroot\result.txt