В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость в популярном почтовом сервере SmarterMail от компании SmarterTools. Уязвимости присвоены идентификаторы BDU:2026-01226 и CVE-2026-24423. Проблема, оцененная по шкале CVSS в 9.8 баллов, связана с отсутствием аутентификации для критичной функции API. Следовательно, злоумышленник может удаленно выполнить произвольный код на уязвимом сервере.
Детали уязвимости
Уязвимость затрагивает метод API под названием "ConnectToHub". По сути, этот метод не требует проверки подлинности пользователя. Таким образом, атакующий, действуя удаленно, может отправить специально созданный запрос к этому интерфейсу. В результате возможно полное компрометирование целевой системы. Эксплуатация уязвимости позволяет нарушителю получить контроль над сервером, украсть конфиденциальную почтовую переписку или развернуть вредоносное ПО. Более того, злоумышленник может использовать зараженный сервер для дальнейших атак внутри сети организации.
По данным BDU, уязвимости подвержены все версии SmarterMail до сборки 9511. Производитель уже подтвердил наличие проблемы и выпустил исправление. Соответственно, администраторам необходимо срочно обновить программное обеспечение до версии 9511. Ссылка на примечания к выпуску и патч опубликованы на официальном сайте SmarterTools. Важно отметить, что статус уязвимости обозначен как «устраненная». Однако угроза остается актуальной для всех систем, где обновление еще не применено.
Оценка по методологии CVSS подчеркивает исключительную опасность данной уязвимости. Базовая оценка CVSS 3.1 составляет 9.8 балла, что соответствует критическому уровню. Вектор атаки - сетевой (AV:N), для эксплуатации не требуются ни привилегии (PR:N), ни взаимодействие с пользователем (UI:N). В итоге воздействие распространяется на конфиденциальность, целостность и доступность системы (C:H/I:H/A:H). Аналогично, оценка по CVSS 4.0 равна 9.3 балла, что также указывает на критическую серьезность угрозы.
Тип ошибки классифицируется как CWE-306 - «Отсутствие аутентификации для критичной функции». Это распространенный недостаток безопасности, когда разработчики не обеспечивают проверку подлинности для важного функционала. В данном случае уязвимый метод API предоставляет возможность подключения к внутреннему хабу системы. Поскольку проверка прав доступа отсутствует, атака становится тривиальной. Специалисты по кибербезопасности постоянно предупреждают о подобных рисках в корпоративном программном обеспечении.
На текущий момент информация о наличии публичного эксплойта уточняется. Тем не менее, публикация деталей уязвимости часто служит сигналом для активизации киберпреступных групп. Обычно злоумышленники быстро разрабатывают средства для эксплуатации таких критичных уязвимостей. В частности, они могут создавать автоматизированные сценарии для массового сканирования и атак. Поэтому задержка с установкой обновления недопустима.
SmarterMail - это популярное решение для организации корпоративной почты на платформе Windows. Оно используется многими компаниями по всему миру. Удаленное выполнение кода (RCE) на почтовом сервере представляет собой крайне серьезный инцидент. Например, злоумышленники могут установить программу-вымогатель (ransomware) или обеспечить себе постоянное присутствие (persistence) в сети. После этого возможно хищение данных или остановка работы всей организации.
Рекомендуемое производителем средство устранения уязвимости - простое обновление ПО. Администраторам следует немедленно установить патч, доступный в сборке 9511. Перед обновлением крайне важно создать резервную копию данных и настроек. Кроме того, рекомендуется проверить журналы аудита на предмет возможных следов уже состоявшихся атак. Если немедленное обновление невозможно, необходимо рассмотреть временные меры. Например, можно ограничить сетевой доступ к веб-интерфейсу администрирования SmarterMail с помощью межсетевого экрана.
Обнаружение уязвимости было опубликовано исследователями из Code White. Они включили ее в свой публичный список уязвимостей. Этот факт демонстрирует важность ответственного разглашения информации. Исследователи сотрудничали с производителем для заблаговременного исправления. Следовательно, у администраторов было время подготовиться до публикации деталей. Такой подход является лучшей практикой в сообществе безопасности.
В заключение, уязвимость BDU:2026-01226 в SmarterMail требует безотлагательных действий. Ее критический уровень и простота эксплуатации делают ее приоритетной для исправления. Все организации, использующие уязвимые версии этого почтового сервера, должны применить обновление. Регулярное обновление программного обеспечения остается самым эффективным способом защиты. В противном случае компании рискуют стать жертвой масштабного киберинцидента с тяжелыми последствиями.
Ссылки
- https://bdu.fstec.ru/vul/2026-01226
- https://www.cve.org/CVERecord?id=CVE-2026-24423
- https://www.smartertools.com/smartermail/release-notes/2026#/9511
- https://code-white.com/public-vulnerability-list/#systemadminsettingscontrollerconnecttohub-missing-authentication-in-smartermail
- https://www.vulncheck.com/advisories/smartertools-smartermail-unauthenticated-rce-via-connecttohub-api
