WatchTowr Labs’taki güvenlik araştırmacılarına göre SmarterTools’taki kritik bir kimlik doğrulama atlama güvenlik açığı SmarterMail, saldırganlar tarafından aktif olarak kullanılıyor.
WT-2026-0001 olarak takip edilen güvenlik açığı, kimliği doğrulanmayan saldırganların sistem yöneticisi parolasını herhangi bir doğrulama olmadan sıfırlamasına olanak tanıyor ve bu da sistemin tamamen ele geçirilmesine yol açıyor.
Kusur, meşru parola sıfırlama senaryolarını işlemek üzere tasarlanmış ForceResetPassword API uç noktasında bulunmaktadır.
Ancak uç nokta, kimlik doğrulaması yapılmadan açığa çıkar ve kritik bir tasarım hatası içerir: kod mantığını farklı parola sıfırlama prosedürlerine ayıran, kullanıcı tarafından kontrol edilen bir parametre olan IsSysAdmin’i kabul eder.
Bir saldırgan IsSysAdmin’i “true” olarak ayarladığında uygulama, yönetici hesabının parolasını sıfırlamaya çalışır. Kritik olarak, uygulama, sıfırlamaya izin vermeden önce mevcut şifreyi doğrulayamıyor.
Bu, normal kullanıcı hesapları için gerçekleştirilir ancak yöneticiler için gizemli bir şekilde atlanır; bu tutarsızlık kırılganlığın kalbidir.
Saldırı, basit bir HTTP POST isteği yoluyla yalnızca üç parça bilginin gönderilmesini gerektirir:
force-reset-password WT-2026-0001’de belirtilen uç nokta (kaynak: watchtowr labs)Yönetici kullanıcı adı (genellikle “admin”), saldırganın seçeceği yeni parola ve IsSysAdmin bayrağı. Yönetici hesapları için eski şifre alanı tamamen göz ardı edilir.
POST /api/v1/auth/force-reset-password HTTP/1.1
Host: xxxxxxx:9998
Content-Type: application/json
Content-Length: 145
{"IsSysAdmin":"true",
"OldPassword":"watever",
"Username":"admin",
"NewPassword":"NewPassword123!@#",
"ConfirmPassword": "NewPassword123!@#"}Aktif İstismar Onaylandı
Saldırganların güvenlik açıklarını tespit etmek ve anlamak için güvenlik yamalarını kaynak koda dönüştürdüğü yama farklılaştırma, bu tehditte önemli bir rol oynadı.
SmarterMail, güvenlik açığının keşfedilmesinden yalnızca altı gün sonra, 15 Ocak 2026’da 9511 sürümünü yayınladı.
Saldırganlar yamayı analiz etti, güvenlik açığında tersine mühendislik uyguladı ve yayınlandıktan sonraki 48 saat içinde yararlanma girişimlerine başladı.
17 Ocak tarihli bir SmarterMail forum gönderisi, sömürü girişimlerinin halihazırda gerçekleştiğini doğruladı.
Yönetici olarak kimlik doğrulaması yapıldıktan sonra saldırganlar, etkiyi artıran yerleşik bir özelliğe erişim kazanır: Rastgele işletim sistemi komutlarıyla birim bağlamaları oluşturma yeteneği.
Bu komutlar, SİSTEM düzeyindeki ayrıcalıklarla yürütülür ve sunucuda tam uzaktan kod yürütülmesini sağlar.
Kimlik doğrulamayı atlayan ve ardından meşru yönetim özellikleri aracılığıyla komutları çalıştıran bu iki aşamalı saldırı zinciri, parola sıfırlama kusurunu tam bir sistem güvenliği ihlaline dönüştürüyor.
WatchTowr Labs, SmarterMail kullanan kuruluşlara derhal 9511 sürümüne yükseltmelerini tavsiye ediyor.
Düzeltme eki, yönetici sıfırlama yoluna uygun parola doğrulaması ekleyerek kötüye kullanımı önler. Bu güncellemenin geciktirilmesi, sistemlerin savunmasız örnekleri arayan aktif tehdit aktörü kampanyalarına maruz kalmasına neden olur.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
