Компания SmarterTools выпустила срочный бюллетень безопасности, предупреждающий о критической уязвимости в своем широко используемом почтовом сервере SmarterMail. Уязвимость, получившая идентификатор CVE-2025-52691, оценивается по шкале CVSS v3.1 в максимальные 10.0 баллов. Она затрагивает версии программного обеспечения Build 9406 и более ранние. Отсутствие аутентификации для эксплуатации делает любой незакрытый сервер, доступный из интернета, объектом немедленной опасности.
Детали уязвимости
Согласно данным Агентства по кибербезопасности Сингапура (Cyber Security Agency of Singapore, CSA), уязвимость представляет собой недостаток типа «произвольная загрузка файлов» (arbitrary file upload). Проще говоря, программное обеспечение не осуществляет должной проверки или ограничения типов файлов, которые можно загрузить на сервер. Это упущение позволяет злоумышленнику, не нуждающемуся в учетных данных или предварительном доступе, загружать вредоносные (malicious) файлы в любое место файловой системы почтового сервера.
После успешной загрузки файл может быть выполнен, что приводит к реализации сценария удаленного выполнения кода (Remote Code Execution, RCE). Это худший вариант для корпоративной безопасности. Обладая возможностями RCE, хакер может выполнять команды с теми же привилегиями, что и само программное обеспечение почтового сервера. Последствия такого взлома могут быть катастрофическими.
Например, злоумышленник может получить доступ к конфиденциальной переписке, спискам контактов и вложениям. Далее, он способен полностью захватить сервер, установив на него программу-вымогатель (ransomware), бэкдор или другое вредоносное обеспечение. Кроме того, скомпрометированный почтовый сервер часто становится плацдармом для атак на другие устройства во внутренней сети организации. Этот метод, известный как перемещение по сети (pivoting), значительно расширяет масштаб потенциального ущерба.
Компания SmarterTools уже выпустила патч для устранения этой проблемы. Разработчик настоятельно рекомендует всем пользователям и администраторам немедленно обновить SmarterMail до версии Build 9413. Своевременное применение обновления является единственным надежным способом защиты от эксплуатации данной уязвимости.
Важно отметить, что уязвимость была обнаружена исследователем Чуа Мэн Ханом (Mr. Chua Meng Han) из Центра стратегических инфокоммуникационных технологий (Centre for Strategic Infocomm Technologies, CSIT). Агентство по кибербезопасности Сингапура публично поблагодарило компанию SmarterTools Inc. за оперативное сотрудничество и скоординированное раскрытие информации, что позволило минимизировать потенциальные риски для пользователей по всему миру.
Данный инцидент служит очередным напоминанием о важности регулярного обновления программного обеспечения, особенно критически важных сервисов, таких как почтовые серверы. Эксперты по безопасности рекомендуют не ограничиваться установкой патчей, но и проводить регулярный аудит настроек, минимизируя поверхность атаки. Например, следует рассмотреть возможность ограничения доступа к административным интерфейсам из глобальной сети. В целом, проактивный подход к управлению уязвимостями остается ключевым элементом защиты корпоративной инфраструктуры.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-52691
- https://www.csa.gov.sg/alerts-and-advisories/alerts/al-2025-124/
