概要
SmarterToolsが提供するメールサーバーおよびコラボレーションツール「SmarterMail」において、認証バイパスの脆弱性が悪用され、管理者アカウントのパスワードがリセットされる事態が発生しています。この脆弱性は、認証されていない攻撃者がシステム管理者パスワードをリセットし、完全な権限を取得することを可能にします。
脆弱性の詳細
この問題は、意図的に認証なしで公開されているforce-reset-password APIエンドポイントに存在します。サイバーセキュリティ企業watchTowrの研究者が1月8日にこの問題を報告し、SmarterMailは1月15日にパッチをリリースしました。
脆弱性の根本原因は、force-reset-password APIエンドポイントが攻撃者によって制御可能なJSON入力('IsSysAdmin'ブール型プロパティを含む)を受け入れることにあります。この'IsSysAdmin'をtrueに設定すると、バックエンドはシステム管理者パスワードのリセットロジックを実行します。さらに重大なことに、このメカニズムでは古いパスワードの検証が一切行われません。その結果、管理者ユーザー名を知っているか推測できる者であれば誰でも新しいパスワードを設定し、アカウントを乗っ取ることができてしまいます。
watchTowrの研究者は、この脆弱性が管理者レベルのアカウントのみに影響を及ぼし、通常のユーザーには影響しないことを指摘しています。管理者レベルのアクセスを得た攻撃者は、OSコマンドを実行し、完全なリモートコード実行(RCE)を達成する可能性があります。
攻撃の状況とPoC
研究者たちは、匿名ユーザーからの情報提供により、この脆弱性がすでに悪用され始めていることを確認しました。提供されたログを調査した結果、攻撃がforce-reset-passwordエンドポイントを標的としていることが判明し、現在この問題が悪用されているという結論を裏付けています。
watchTowrの研究者は、SYSTEMレベルのシェルアクセスを実証する概念実証(PoC)エクスプロイトも作成しています。
SmarterMailとは
SmarterMailは、SmarterToolsによって開発された自己ホスト型のWindows向けメールサーバーおよびコラボレーションプラットフォームです。SMTP/IMAP/POPメール、Webメール、カレンダー、連絡先、および基本的なグループウェア機能を提供します。通常、マネージドサービスプロバイダー(MSP)、中小企業、およびメールサービスを提供するホスティングプロバイダーによって利用されています。SmarterToolsは、その製品が120カ国で1500万人のユーザーを擁していると主張しています。
推奨される対策
SmarterMailのユーザーは、Build 9511(1月15日リリース)に直ちにアップグレードすることが強く推奨されます。このバージョンには、今回の認証バイパス脆弱性(CVEなし)だけでなく、2週間前にwatchTowrが発見した重要なプレ認証RCE脆弱性(CVE-2025-52691)も対処されています。