【CVE-2026-23760】SmarterMail 特权账户接管

请求

目的

POST /api/v1/auth/force-reset-password

利用账户接管漏洞获取特权用户账户的访问权限。

POST /api/v1/auth/authenticate-user 

使用特权用户的凭据获取有效的访问令牌。

POST /api/v1/settings/sysadmin/event-hook 

配置恶意系统事件。

推测该系统事件被配置为，当有新的域名添加到 SmarterMail 应用时，执行威胁行为者的侦察命令。

POST /api/v1/settings/sysadmin/domain-put 

向 SmarterMail 添加新域名，从而触发上一步创建的系统事件。

POST /api/v1/settings/sysadmin/domain-delete/google.abc[.]com/true 

作为痕迹清除活动的一部分，进行清理操作。（删除了新添加的域名）

POST /api/v1/settings/sysadmin/event-hook-delete

作为痕迹清除活动的一部分，进行清理操作。（删除了创建的恶意系统事件钩子）

项目

详情

142.111.152[.]57

142.111.152[.]229

155.2.215[.]66

142.111.152[.]54

142.111.152[.]53

142.111.152[.]222

142.111.152[.]159

142.111.152[.]165

155.2.215[.]70

142.111.152[.]49

155.2.215[.]74

142.111.152[.]160

155.2.215[.]73

142.111.152[.]51

155.2.215[.]60

142.111.152[.]151

142.111.152[.]46

155.2.215[.]68

142.111.152[.]155

142.111.152[.]45

155.2.215[.]72

155.2.215[.]67

142.111.152[.]47

142.111.152[.]59

142.111.152[.]56

142.111.152[.]154

142.111.152[.]150

155.2.215[.]62

观测到发起攻击的源 IP 地址。

python-requests/2.32.4

观测到执行攻击时使用的用户代理。注意：这是 Python requests 模块 2.32.4 版本的默认用户代理。

C:\Program Files (x86)\SmarterTools\SmarterMail\Service\wwwroot\result.txt

包含侦察命令输出结果的文件。

/api/v1/auth/force-reset-password

/api/v1/auth/authenticate-user 

/api/v1/settings/sysadmin/event-hook 

/api/v1/settings/sysadmin/domain-put 

/api/v1/settings/sysadmin/domain-delete/google.abc.com/true 

/api/v1/settings/sysadmin/event-hook-delete

在攻击中观测到向这些端点发起的 POST 请求。