Cve-2026-23760

Pesquisadores da Flare monitoraram canais subterrâneos do Telegram e fóruns de cibercrime, observando que atores de ameaças compartilharam rapidamente exploits e credenciais de administrador roubadas relacionadas a vulnerabilidades do SmarterMail, como CVE-2026-24423 e CVE-2026-23760. Essas falhas críticas permitem execução remota de código e bypass de autenticação em servidores de e-mail expostos. A exploração dessas vulnerabilidades já foi confirmada em ataques reais, incluindo campanhas de ransomware, evidenciando que os atacantes visam cada vez mais a infraestrutura de e-mail como ponto de acesso inicial às redes corporativas. Com um CVSS de 9.3, a CVE-2026-24423 é particularmente alarmante, pois não requer interação do usuário, facilitando a automação de ataques em larga escala. O SmarterTools, fabricante do SmarterMail, também foi comprometido por uma falha em seu próprio produto, demonstrando a gravidade da situação. A CISA confirmou a exploração ativa dessas vulnerabilidades em campanhas de ransomware, destacando a necessidade urgente de ações corretivas por parte das organizações.

A SmarterTools confirmou na semana passada que a gangue de ransomware Warlock invadiu sua rede após comprometer um sistema de e-mail, embora não tenha afetado aplicações comerciais ou dados de contas. O incidente ocorreu em 29 de janeiro, quando uma máquina virtual (VM) do SmarterMail, configurada por um funcionário, foi explorada. A empresa tinha cerca de 30 servidores/VMs com SmarterMail, mas uma delas não estava atualizada, permitindo que os atacantes acessassem a rede. Apesar de a SmarterTools garantir que os dados dos clientes não foram diretamente impactados, 12 servidores Windows na rede de escritório da empresa e um centro de dados secundário foram comprometidos. Os atacantes se moveram lateralmente pela rede usando o Active Directory e ferramentas específicas do Windows. A vulnerabilidade explorada foi a CVE-2026-23760, que permite a redefinição de senhas de administrador. Embora os operadores de ransomware tenham tentado criptografar os sistemas, produtos de segurança da Sentinel One impediram a execução da criptografia, e os dados foram restaurados a partir de backups. A empresa recomenda que os administradores atualizem para a versão Build 9511 ou posterior para corrigir as falhas recentes.

A organização de segurança sem fins lucrativos Shadowserver identificou mais de 6.000 servidores SmarterMail expostos na internet, potencialmente vulneráveis a uma falha crítica de bypass de autenticação. A vulnerabilidade, que foi reportada pela watchTowr à desenvolvedora SmarterTools em 8 de janeiro e corrigida em 15 de janeiro, permite que atacantes não autenticados sequestram contas de administrador e executem código remotamente no servidor afetado. A falha, identificada como CVE-2026-23760, afeta versões do SmarterMail anteriores à build 9511 e permite que um atacante forneça um nome de usuário de administrador e uma nova senha para redefinir a conta, resultando em comprometimento total do sistema. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) incluiu essa vulnerabilidade em sua lista de falhas ativamente exploradas, exigindo que agências governamentais dos EUA protejam seus servidores até 16 de fevereiro. Além disso, a pesquisa da Macnica revelou que mais de 8.550 instâncias do SmarterMail ainda estão vulneráveis, destacando a urgência da situação. A exploração dessa vulnerabilidade pode levar a consequências severas, como controle total dos servidores afetados.