サイバーニュース.jp

世界のサイバーなニュースを配信

SmarterMailの認証バイパス脆弱性、パッチ公開からわずか2日で悪用が確認

カテゴリ:

概要

メールソフトウェアSmarterMailに新たなセキュリティ脆弱性が発見され、パッチの公開からわずか2日後にはすでに活発な悪用が確認されています。この脆弱性(watchTowr LabsによってWT-2026-0001として追跡)は、認証バイパスの欠陥であり、特別に細工されたHTTPリクエストを/api/v1/auth/force-reset-passwordエンドポイントに送信することで、任意のユーザーがSmarterMailシステム管理者のパスワードをリセットできる可能性があります。この脆弱性は、2026年1月8日にwatchTowr LabsがSmarterToolsに責任を持って開示し、SmarterToolsは1月15日にBuild 9511で修正パッチをリリースしていました。

脆弱性の詳細

この脆弱性の根源は、SmarterMail.Web.Api.AuthenticationController.ForceResetPassword関数にあります。この関数は、認証なしでエンドポイントへのアクセスを許容するだけでなく、リセット要求に付随するIsSysAdminというブール型フラグを利用しています。

リクエストでIsSysAdminフラグが「true」に設定されている場合、システムは以下の一連のアクションを実行します:

  • HTTPリクエストで渡されたユーザー名に対応する設定を取得する
  • 新しいパスワードで新しいシステム管理者項目を作成する
  • 管理者アカウントを新しいパスワードで更新する

このセキュリティ制御の完全な欠如は、攻撃者が既存の管理者ユーザー名を知っている場合、容易に昇格されたアクセス権を取得するために悪用される可能性があります。

さらに、この認証バイパスは、システム管理者が基盤となるオペレーティングシステム上でOSコマンドを実行し、SYSTEMレベルのシェルを取得できる組み込み機能を通じて、リモートコード実行(RCE)への直接的な経路を提供します。これは、設定ページで新しいボリュームを作成し、ボリュームマウントコマンドフィールドに任意のコマンドを指定することで達成できます。

活発な悪用とベンダーの対応

パッチがリリースされたわずか2日後の2026年1月17日、SmarterToolsコミュニティポータルへの投稿で、ユーザーが管理者アカウントへのアクセスを失ったと報告しました。ログには、まさにこのforce-reset-passwordエンドポイントが悪用されたことが示されていました。これは、攻撃者がパッチをリバースエンジニアリングして脆弱性を再構築した可能性が高いことを示唆しています。

SmarterMailのリリースノートは曖昧であり、どの問題が対処されたかを明示的に言及していません。Build 9511のリリースノートには「重要:重大なセキュリティ修正」とだけ記載されていました。SmarterToolsのCEOであるTim Uzzanti氏は、これは脅威アクターにさらなる情報を提供しないためであると示唆しましたが、今後は新しいCVEが発見されるたびに、そしてその問題を解決するビルドがリリースされるたびにメールを送信する予定であると述べました。

SmarterToolsはThe Hacker Newsに対し、1月15日に脆弱性の修正をリリースし、すべての顧客に最新バージョンへのアップデートを求める通知を送ったと語っています。

関連する脆弱性とCISAの警告

この事態は、シンガポールサイバーセキュリティ庁(CSA)がSmarterMailの最大深刻度のセキュリティ脆弱性(CVE-2025-52691、CVSSスコア:10.0)の詳細を開示してから1ヶ月も経たないうちに発生しました。この脆弱性もリモートコード実行に悪用される可能性がありました。

今回の脆弱性にはCVE-2026-23760(CVSSスコア:9.3)というCVE識別子が割り当てられており、Huntressは特権アカウント奪取の脆弱性の活発な悪用を観測していると報告しています。この脆弱性もリモートコード実行につながる可能性があります。Huntressは、CVE-2025-52691も大規模な悪用を受けていると述べ、SmarterMailユーザーに対し、できるだけ早く最新バージョンにアップデートすることが不可欠であると強調しました。

Huntressの検出エンジニアリングおよび脅威ハンティングのシニアマネージャーであるJai Minton氏は、CVE-2025-52691が悪用され、低精度のWebシェルや、システム再起動時に永続性と実行を達成するためにスタートアップディレクトリに書き込まれる疑わしいマルウェアローダーが配信されていると述べています。

米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、SmarterMailのこれら両方の脆弱性を「既知の悪用されている脆弱性(KEV)」カタログに追加し、連邦政府の行政機関(FCEB)に対し、2026年2月16日までにパッチを適用することを義務付けています。

推奨事項

この脆弱性の深刻度、およびCVE-2026-23760とCVE-2025-52691の両方の活発な悪用が確認されていることを踏まえ、企業はSmarterMailのアップデート展開を優先し、感染の兆候がないか古いシステムをレビューするべきです。

元記事: https://thehackernews.com/2026/01/smartermail-auth-bypass-exploited-in.html

投稿をさらに読み込む