Компания SmarterTools, разработчик популярного почтового сервера SmarterMail, официально подтвердила факт успешной атаки на собственную корпоративную инфраструктуру. Инцидент, произошедший 29 января 2026 года, привел к шифрованию 30 серверов компании группировкой вымогателей Warlock (также известной как Storm-2603). Причиной взлома стала забытая виртуальная машина с устаревшей версией ПО, которую администраторы упустили из виду при обновлении парка машин.
Технические детали уязвимости (WT-2026-0001 / CVE-2026-23760)
Исследователи из лаборатории watchTowr выявили критическую ошибку аутентификации в API продукта, которая позволяет полностью перехватить контроль над сервером.
- Проблема: В API-эндпоинте force-reset-password обнаружена логическая ошибка при обработке JSON-запросов.
- Механизм эксплуатации: Запрос принимает параметр IsSysAdmin. Если передать значение false, система корректно требует ввод старого пароля. Однако, если установить значение true, проверка старого пароля (поле OldPassword) полностью игнорируется, позволяя злоумышленнику задать новый пароль администратора без какой-либо авторизации.
- Эскалация привилегий (RCE): Получив доступ к панели администратора, атакующий может использовать штатную функцию монтирования томов («Volume Mounts») для выполнения произвольных команд операционной системы с максимальными правами (SYSTEM).
Хронология и последствия
- 15 января: SmarterTools выпускает исправление (Build 9511) для закрытия уязвимости.
- 29 января: Группировка Warlock атакует инфраструктуру самого разработчика через непатченный сервер, спустя две недели после выхода обновления.
- Реакция компании: В ответ на инцидент SmarterTools объявила о радикальной смене архитектуры безопасности. Компания переводит внутреннюю инфраструктуру на Linux и полностью отказывается от использования Active Directory для минимизации поверхности атаки в будущем.
⬇️Поддержать автора⬇️
✅SBER: 2202 2050 1464 4675