SmarterTools lanza una actualización de emergencia tras descubrirse que atacantes podían reiniciar contraseñas de administrador o inyectar comandos del sistema operativo sin necesidad de autenticación.
Si administras un servidor de correo SmarterMail, la situación es urgente. Hoy 30 de enero de 2026, la corrección de múltiples vulnerabilidades de seguridad, incluyendo dos fallos críticos con una puntuación de 9.3 sobre 10 (CVSS).
Lo alarmante es que uno de estos fallos (CVE-2026-23760) ya está siendo explotado activamente en Internet (“In-the-Wild”) por ciberdelincuentes que lograron aplicar ingeniería inversa al parche apenas dos días después de su lanzamiento inicial.
Las Vulnerabilidades Críticas
- 1. RCE vía API ConnectToHub (CVE-2026-24423)
- Severidad: Crítica (9.3).
- El Fallo: Descubierto por investigadores de watchTowr, Code White y VulnCheck, este error reside en el método de API ConnectToHub.
- El Ataque: Un atacante no autenticado puede enviar una solicitud maliciosa que obliga al servidor SmarterMail a conectarse a un servidor HTTP controlado por el hacker. Este servidor responde con un comando de sistema operativo que la aplicación vulnerable ejecuta ciegamente.
- Resultado: Ejecución de código arbitrario con los privilegios del servicio de correo.
- 2. Bypass de Autenticación y RCE (CVE-2026-23760)
- Severidad: Crítica (9.3) – Explotación Activa Confirmada.
- El Fallo: Un error en la API de restablecimiento de contraseñas (force-reset-password).
- El Ataque: Permite a cualquier persona restablecer la contraseña del usuario “System Administrator” sin conocer la contraseña anterior ni tener un token válido.
- La Escalada: Una vez que el atacante se convierte en administrador, puede utilizar funciones legítimas del sistema (como “Eventos del Sistema” o montaje de volúmenes) para ejecutar comandos y tomar control total del servidor.
- Un Tercer Fallo: Ataques NTLM (CVE-2026-25067)
Además de los críticos, se ha corregido un fallo de severidad media (CVSS 6.9) que afectaba al endpoint de vista previa de “background-of-the-day”.
- Los atacantes podían manipular rutas de archivos (Path Coercion) para obligar al servidor Windows a intentar autenticarse contra una máquina externa mediante SMB, lo que facilitaba ataques de NTLM Relay para robar credenciales de red.
Solución Inmediata
SmarterTools ha actuado en dos fases:
- Build 9511 (15 de enero): Corrigió los dos fallos críticos de RCE.
- Build 9518 (22 de enero): Corrigió el fallo de NTLM Relay adicional.
Recomendación
Debes actualizar tu instalación de SmarterMail al Build 9518 (o superior) inmediatamente. Si todavía estás en una versión anterior a la 9511, asume que tu servidor es vulnerable y revisa los logs en busca de accesos extraños a la API /api/v1/auth/force-reset-password.
