Інцидент зі SmarterTools, розробником поштового сервера SmarterMail, став показовим прикладом того, як одна критична уразливість у поєднанні з несвоєчасним оновленням може відкрити шлях для програми-вимагача навіть усередині інфраструктури самого вендора.
Як відбулася атака на SmarterTools і SmarterMail
29 січня 2026 року китайська хак-група Warlock (також відома як Gold Salem та Storm-2603) отримала несанкціонований доступ до внутрішньої мережі SmarterTools і спробувала розгорнути програму-вимагач приблизно на 30 поштових серверах.
Під удар потрапили як офісні системи, так і сервери в дата-центрі, включно зі стендами для QA-тестування. Вхідною точкою стала віртуальна машина з застарілою версією SmarterMail, розгорнута співробітником без встановлення свіжих патчів безпеки.
Саме на цій VM зловмисники експлуатували критичну уразливість, після чого змогли розширити доступ до низки серверів. Однак система захисту кінцевих точок SentinelOne вчасно виявила й заблокувала спроби шифрування даних, що зірвало повноцінний сценарій програми-вимагача.
Незважаючи на це, SmarterTools зафіксувала тимчасові збої, зокрема в роботі порталу техпідтримки. Сегментація мережі обмежила поширення атаки: найбільше постраждали Windows-сервери (близько 12 машин), тоді як Linux-інфраструктура залишилася неушкодженою.
Уразливість SmarterMail CVE-2026-24423: технічний розбір
Ключовим елементом інциденту стала уразливість CVE-2026-24423 з оцінкою 9,3 за шкалою CVSS. Вона внесена до каталогу активно експлуатованих уразливостей CISA KEV із позначкою використання в кампаніях програм-вимагачів.
Патч було випущено 15 січня 2026 року у версії SmarterMail Build 9511, тобто за два тижні до атаки, а детальний технічний аналіз опублікували дослідники WatchTowr Labs 22 січня — за тиждень до інциденту. Це дало зловмисникам усю необхідну інформацію для створення експлойта.
Небезпечний API /api/v1/settings/sysadmin/connect-to-hub
Уразливість була пов’язана з небезпечною реалізацією API-ендпоінта /api/v1/settings/sysadmin/connect-to-hub, який:
- не вимагав автентифікації;
- приймав JSON у POST-запиті;
- довіряв параметру hubAddress, що вказував на зовнішній сервер.
Атакувальник надсилав запит, підставляючи в hubAddress адресу свого сервера. Уразливий SmarterMail підключався до цього «хаба» і запитував конфігурацію, у якій зловмисник повертав JSON-об’єкт із параметром CommandMount, що містив довільну команду ОС.
Ця команда виконувалася на боці сервера SmarterMail, фактично поєднуючи обхід автентифікації та віддалене виконання коду (RCE). Такі конструкції легко автоматизуються, тому зловмисники можуть масово сканувати Інтернет на наявність уразливих екземплярів SmarterMail.
Чому експлойт був настільки привабливим
Поштова інфраструктура є високопривабливою ціллю: вона містить чутливі переписки, облікові дані та часто інтегрована з доменною інфраструктурою. Експлуатація CVE-2026-24423 дозволяє отримати початковий плацдарм у мережі організації без потреби вкрадених паролів або фішингу.
Група Warlock: типові техніки та ланцюжок атак
За спостереженнями дослідників, Warlock системно експлуатує уразливості в популярних корпоративних продуктах — Microsoft SharePoint, рішеннях резервного копіювання Veeam та інших сервісах, орієнтованих насамперед на Windows-середовище. Додавання SmarterMail до їх арсеналу виглядає логічним продовженням цієї стратегії.
Після початкового проникнення Warlock зазвичай витримує паузу 6–7 днів перед активацією програми-вимагача. У цей період зловмисники:
- розвідують мережу та шукають критичні вузли;
- намагаються захопити контролери домену Active Directory;
- створюють нові облікові записи та закріплюються в системі;
- поширюють свої інструменти по Windows-машинах.
Через цю затримку частина клієнтів SmarterMail зіткнулася з шифруванням уже після встановлення оновлень: компрометація відбулася раніше, а активація шкідливого ПЗ була відкладена.
Інші критичні уразливості SmarterMail: CVE-2026-23760 і CVE-2026-25067
Протягом трьох тижнів до інциденту в SmarterMail було виявлено ще дві суттєві проблеми безпеки:
- CVE-2026-23760 (CVSS 9,3) — ще одна уразливість віддаленого виконання коду, яка, за повідомленнями дослідників, уже активно експлуатується;
- CVE-2026-25067 (CVSS 6,9) — уразливість, що відкриває можливість NTLM relay-атак через ендпоінт попереднього перегляду
background-of-the-day.
Обидві уразливості усунуто в оновленнях SmarterMail Build 9511 та 9518. Сукупна наявність кількох критичних багів в одному продукті підкреслює необхідність повного й своєчасного оновлення всіх інстансів, включно з тестовими та тимчасовими VM, які часто випадають із процесів patch-менеджменту.
Реакція SmarterTools та рекомендації для організацій
У відповідь на атаку SmarterTools заявила про перегляд архітектури інфраструктури. У тих сегментах, де це можливо, компанія відмовляється від Windows, припиняє використання Active Directory, повністю скинула та перевидала всі паролі, а також продовжує внутрішній аудит безпеки продуктів і залучає зовнішніх дослідників.
Клієнтам рекомендовано негайно оновитися щонайменше до версії SmarterMail Build 9526 від 22 січня 2026 року та регулярно аналізувати журнали подій на предмет звернень до ендпоінта /api/v1/settings/sysadmin/connect-to-hub. В актуальних версіях цей запит повертає HTTP 400 з повідомленням про помилку, що дозволяє швидко відрізнити захищені інсталяції від уразливих.
Цей інцидент ще раз підтверджує: ефективна кібербезпека неможлива без системного підходу. Організаціям варто інвентаризувати всі екземпляри SmarterMail та інших поштових серверів, негайно застосувати останні оновлення, посилити сегментацію мережі, обмежити права сервісних облікових записів, розгорнути сучасні EDR-рішення та регулярно аналізувати логи й зовнішні API-ендпоінти на аномалії. Чим раніше ці практики стануть стандартом, тим менше шансів, що наступна кампанія програм-вимагачів виявить саме вашу інфраструктуру найслабшою ланкою.
