Guge's Blog
Published on

【CVE-2026-23760】SmarterMail 特权账户接管

Authors
  • avatar
    Name
    骨哥
    Twitter

摘要

SmarterMail 是一款由 SmarterTools 提供的邮件和协作服务器,在企业内部通信中广泛使用。近日发现的 CVE-2026-23760 是一个认证绕过漏洞,存在于 SmarterMail 的密码重置 API 接口 中,强烈建议 SmarterMail 用户立即升级至 2026年1月15日发布的最新版本 Build 9511。

需要注意的是,这与目前正在大规模利用的 CVE-2025-52691 是分开的独立事件。CVE-2025-52691 是 SmarterMail 中一个同样会导致远程代码执行的任意文件上传漏洞。

威胁深入分析

一旦漏洞被利用,威胁行为者就会利用被劫持的特权账户访问 SmarterMail 的“系统事件”功能,并在其中创建恶意的系统事件,以在受感染的主机上执行侦察命令。

对被攻击主机的相关应用日志审查显示,攻击者为达成其目标,向 SmarterMail 应用程序发起了一系列 HTTP POST 请求。

表 1(如下)展示了按观测顺序排列的请求,并附有相应说明,详细介绍了它们在攻击中的用途。

请求

目的

POST /api/v1/auth/force-reset-password

利用账户接管漏洞获取特权用户账户的访问权限。

POST /api/v1/auth/authenticate-user 

使用特权用户的凭据获取有效的访问令牌。

POST /api/v1/settings/sysadmin/event-hook 

配置恶意系统事件。

推测该系统事件被配置为,当有新的域名添加到 SmarterMail 应用时,执行威胁行为者的侦察命令。

POST /api/v1/settings/sysadmin/domain-put 

向 SmarterMail 添加新域名,从而触发上一步创建的系统事件。

POST /api/v1/settings/sysadmin/domain-delete/google.abc[.]com/true 

作为痕迹清除活动的一部分,进行清理操作。(删除了新添加的域名)

POST /api/v1/settings/sysadmin/event-hook-delete

作为痕迹清除活动的一部分,进行清理操作。(删除了创建的恶意系统事件钩子)

*表 1:观测到的 HTTP 请求摘要

-

这些请求在多个客户环境中快速连续发出,表明这是大规模自动化扫描和利用。

漏洞分析

通过对比 1 月 8 日发布的版本 9504 和 1 月 15 日发布的版本 9511,可以清楚地看到导致漏洞的根本原因:在旧版本中,向 /api/v1/auth/force-reset-password 端点提交请求时,程序未验证所提交的旧密码是否有效

图 1:SmarterMail 二进制版本 9504 与 9511 的对比

结论

file 鉴于该漏洞的严重性、当前活跃的在野利用情况以及已观测到的 CVE-2025-52691 漏洞利用,企业应优先部署 SmarterMail 更新,并审查所有旧版本系统是否已出现被感染的迹象。

入侵指标

项目

详情

142.111.152[.]57

142.111.152[.]229

155.2.215[.]66

142.111.152[.]54

142.111.152[.]53

142.111.152[.]222

142.111.152[.]159

142.111.152[.]165

155.2.215[.]70

142.111.152[.]49

155.2.215[.]74

142.111.152[.]160

155.2.215[.]73

142.111.152[.]51

155.2.215[.]60

142.111.152[.]151

142.111.152[.]46

155.2.215[.]68

142.111.152[.]155

142.111.152[.]45

155.2.215[.]72

155.2.215[.]67

142.111.152[.]47

142.111.152[.]59

142.111.152[.]56

142.111.152[.]154

142.111.152[.]150

155.2.215[.]62

观测到发起攻击的源 IP 地址。

python-requests/2.32.4

观测到执行攻击时使用的用户代理。注意:这是 Python requests 模块 2.32.4 版本的默认用户代理。

C:\Program Files (x86)\SmarterTools\SmarterMail\Service\wwwroot\result.txt

包含侦察命令输出结果的文件。

/api/v1/auth/force-reset-password

/api/v1/auth/authenticate-user 

/api/v1/settings/sysadmin/event-hook 

/api/v1/settings/sysadmin/domain-put 

/api/v1/settings/sysadmin/domain-delete/google.abc.com/true 

/api/v1/settings/sysadmin/event-hook-delete

在攻击中观测到向这些端点发起的 POST 请求。

原文:https://www.huntress.com/blog/smartermail-account-takeover-leading-to-rce

Discuss on TwitterView on GitHub