← Tornar als articles
Seguretat· 3 min de lectura

CVE-2026-24423: bypass d'autenticació a SmarterMail explotat per ransomware

Què és CVE-2026-24423

CVE-2026-24423 és una vulnerabilitat crítica d’execució remota de codi (RCE) sense autenticació a SmarterMail, el servidor de correu de SmarterTools. La fallada és a l’endpoint d’API ConnectToHub (/api/v1/settings/sysadmin/connect-to-hub), declarat de manera explícita com a anònim (AllowAnonymous = true). Dit d’una altra manera: qualsevol atacant remot, sense credencials ni privilegis, el pot cridar.

El que passa és un bypass d’autenticació combinat amb una deserialització insegura. L’atacant envia una petició POST amb un paràmetre hubAddress que apunta a un servidor seu. SmarterMail contacta llavors amb aquest servidor i li demana /web/api/node-management/setup-initial-connection. El servidor de l’atacant respon amb un objecte JSON que inclou un paràmetre CommandMount; l’aplicació el processa a través de MountConfiguration.Mount() i el passa a CommandLine.RunCommand(), que executa ordres arbitràries del sistema operatiu: cmd.exe /c <ordre> a Windows i /bin/bash -c <ordre> a Linux/macOS. A Linux, a sobre, el flux permet escalada de privilegis mitjançant sudo.

A qui afecta i gravetat

Estan afectades totes les compilacions de SmarterMail anteriors a la build v100.0.9511. Parlem d’un servidor de correu que per definició dona la cara a Internet, així que la superfície d’atac és enorme: qualsevol instància accessible públicament i sense pegat pot caure del tot de forma remota i sense que ningú faci clic enlloc.

La gravetat és crítica. L’explotació massiva va arrencar al voltant del 28 de gener de 2026; investigadors de watchTowr van comptar més de 1.000 intents d’explotació des d’unes 60 adreces IP atacants diferents en només dues setmanes. No és un risc teòric: operadors de ransomware la van aprofitar en calent, i el mateix fabricant, SmarterTools, va ser compromès pel grup Storm-2603. Hi ha prova de concepte pública que demostra l’execució d’ordres tant a Windows com a Linux.

Amb atacs reals de ransomware sobre la taula, CISA va afegir la vulnerabilitat al seu catàleg de vulnerabilitats explotades conegudes (KEV) i va ordenar a les agències federals dels EUA aplicar el pegat abans del 26 de febrer de 2026.

Mitigació i pegat

La correcció arriba a SmarterMail Build v100.0.9511, publicada el 15 de gener de 2026. El primer i prioritari és actualitzar ja a aquesta versió o posterior.

Algunes recomanacions més:

  • Si encara no pots aplicar el pegat, restringeix l’accés a la interfície d’administració i a l’endpoint ConnectToHub amb tallafocs o regles de proxy invers, deixant-lo només per a adreces de confiança.
  • Mira els registres del servidor cercant peticions a l’endpoint connect-to-hub i connexions sortints estranyes cap a hosts externs, que delatarien intents d’explotació.
  • Dona per fet que estàs compromès si la teva instància va estar exposada i sense pegat des de finals de gener: cerca indicadors de ransomware, comptes nous i tasques programades que no reconeguis.
  • En desplegaments sobre Linux, repassa la configuració de sudo del servei per acotar el dany d’una eventual execució d’ordres.

Aïllar bé el procés del servidor de correu i aplicar controls d’accés obligatori (MAC) ajuda a contenir aquest tipus de RCE; en tens més detalls al nostre article sobre SELinux i AppArmor.

Font