Инцидент с компанией SmarterTools — разработчиком популярного почтового сервера SmarterMail — стал показательным примером того, как критическая уязвимость в продукте в сочетании с запоздалым обновлением может привести к масштабной атаке вымогателей даже на инфраструктуру самого вендора.
Как произошла атака на SmarterTools и SmarterMail
29 января 2026 года китайская хак-группа Warlock (также известная как Gold Salem и Storm-2603) получила доступ к внутренней сети SmarterTools и развернула вымогательское ПО примерно на 30 почтовых серверах. Под удар попали системы как в офисной сети компании, так и в дата-центре, где размещались стенды для QA-тестирования.
По данным SmarterTools, точкой входа стала виртуальная машина с устаревшей версией SmarterMail. Один из сотрудников развернул эту VM и не установил обновления безопасности. Этого оказалось достаточно, чтобы злоумышленники смогли эксплуатировать критическую уязвимость и получить контроль над рядом серверов.
Несмотря на успешное проникновение и развёртывание малвари, система защиты конечных точек SentinelOne обнаружила и заблокировала попытки шифрования данных. Временный простой испытал, в частности, портал технической поддержки компании, однако сегментация сети ограничила распространение атаки. По сообщению SmarterTools, наибольшее воздействие испытали Windows-серверы (около 12 машин), тогда как Linux-инфраструктура осталась нетронутой.
Критическая уязвимость SmarterMail CVE-2026-24423: технические детали
Ключевым элементом атаки стала уязвимость CVE-2026-24423, получившая оценку 9,3 по шкале CVSS и включённая в каталог активно эксплуатируемых уязвимостей CISA с пометкой об использовании в вымогательских кампаниях. Патч для SmarterMail был выпущен 15 января 2026 года в версии Build 9511, за две недели до взлома, а технические подробности опубликованы исследователями WatchTowr Labs 22 января — всего за неделю до атаки.
Как работает эксплойт CVE-2026-24423
Суть проблемы заключалась в небезопасной реализации API-эндпоинта /api/v1/settings/sysadmin/connect-to-hub. Этот эндпоинт:
— не требовал аутентификации;
— принимал JSON-данные в POST-запросе;
— доверял параметру hubAddress, указывающему на внешний сервер.
Злоумышленник отправлял запрос, подставляя в hubAddress адрес подконтрольного ему узла. Уязвимый SmarterMail подключался к этому серверу и запрашивал конфигурацию, а во «вкладе» конфигурации атакующий возвращал JSON-объект с параметром CommandMount, содержащим произвольную команду операционной системы. Эта команда затем выполнялась на стороне сервера SmarterMail. Фактически уязвимость объединяла обход аутентификации и удалённое выполнение кода.
Такие конструкции особенно опасны тем, что они легко автоматизируются, и злоумышленник может массово сканировать интернет в поиске уязвимых экземпляров SmarterMail, быстро получая доступ к критичным системам, включая почтовую инфраструктуру организаций.
Профиль хак-группы Warlock и её тактика
По наблюдениям специалистов, группировка Warlock традиционно эксплуатирует уязвимости в продуктах Microsoft SharePoint, решениях резервного копирования Veeam и других популярных корпоративных системах. Добавление SmarterMail в этот перечень логично вписывается в их модель атак, нацеленных в первую очередь на Windows-окружения. Это объясняет, почему Linux-серверы SmarterTools в данном случае не пострадали.
После первоначального проникновения Warlock обычно выдерживает паузу в 6–7 дней, прежде чем активировать вымогательское ПО. За это время злоумышленники изучают сеть, пытаются захватить контроллеры домена Active Directory, создают новые учётные записи и распространяют инструменты по Windows-машинам. Такой временной лаг объясняет, почему часть клиентов SmarterMail столкнулась с шифрованием уже после установки обновлений: эксплуатация уязвимости происходила ранее, а активация малвари была отложена.
Дополнительные уязвимости SmarterMail: CVE-2026-23760 и CVE-2026-25067
За три недели, предшествовавшие атаке, в SmarterMail были выявлены ещё две серьёзные проблемы безопасности:
— CVE-2026-23760 (CVSS 9,3) — уязвимость удалённого выполнения кода, которая, по сообщениям исследователей, также активно эксплуатируется в атаках;
— CVE-2026-25067 (CVSS 6,9) — уязвимость, открывающая возможность NTLM relay-атак через эндпоинт background-of-the-day preview.
Обе уязвимости были устранены в обновлениях SmarterMail Build 9511 и 9518. Наличие сразу нескольких критичных багов в одном продукте подчёркивает необходимость регулярного и полного обновления всех серверов, включая тестовые и временные экземпляры, которые часто остаются за пределами стандартных процедур патч-менеджмента.
Реакция SmarterTools и практические выводы для организаций
В ответ на инцидент SmarterTools заявила о пересмотре архитектуры своей инфраструктуры. В тех сегментах, где это было возможно, компания отказалась от использования Windows, прекратила эксплуатацию Active Directory, а все пароли в системах были сброшены и заново сгенерированы. Дополнительно объявлено о продолжении аудита продуктов и сотрудничестве с внешними исследователями в области информационной безопасности.
Клиентам SmarterMail рекомендовано немедленно обновиться до версии Build 9526 от 22 января 2026 года, а также регулярно проверять журналы событий на предмет обращений к эндпоинту /api/v1/settings/sysadmin/connect-to-hub. В исправленных версиях этот эндпоинт возвращает HTTP 400 с сообщением об ошибке, что позволяет быстро отличить уязвимые установки от защищённых.
С точки зрения практической кибербезопасности ключевые выводы из этого инцидента очевидны: критически важно поддерживать в актуальном состоянии не только боевые серверы, но и лабораторные VM; применять сегментацию сети и EDR-решения; ограничивать права сервисных учётных записей; регулярно анализировать логи и внешние API-эндпоинты на предмет аномалий. Организациям, использующим SmarterMail или аналогичные почтовые серверы, стоит провести инвентаризацию всех экземпляров, немедленно установить свежие обновления и проверить инфраструктуру на следы возможного компрометации.
