(https://i.imgur.com/wlKjBJQ.jpeg)
SmarterTools ha publicado actualizaciones de seguridad urgentes para su plataforma de correo electrónico SmarterMail, abordando dos vulnerabilidades críticas que podrían permitir a atacantes remotos ejecutar código arbitrario y comprometer por completo servidores de correo corporativos. Una de estas fallas ya ha sido explotada activamente en la naturaleza, lo que eleva significativamente el nivel de riesgo para organizaciones que aún no han aplicado los parches.
La vulnerabilidad más grave, identificada como CVE-2026-24423, cuenta con una puntuación CVSS de 9,3 sobre 10, lo que la clasifica como crítica. Afecta a todas las versiones de SmarterMail anteriores a la Build 9511, y permite ejecución remota de código (RCE) sin autenticación, un escenario especialmente peligroso en servicios expuestos a Internet como los servidores de correo.
CVE-2026-24423: ejecución remota de código sin autenticaciónSegún la descripción oficial publicada en CVE.org, la falla reside en el método de la API ConnectToHub, el cual no valida correctamente los datos suministrados por el usuario remoto.
Citar"Un atacante puede apuntar SmarterMail a un servidor HTTP malicioso que entregue comandos del sistema operativo. Estos comandos son posteriormente ejecutados por la aplicación vulnerable."
En términos prácticos, esto significa que cualquier atacante remoto, sin necesidad de credenciales válidas, podría tomar el control total del servidor SmarterMail, ejecutar comandos del sistema operativo subyacente, instalar malware persistente o utilizar el sistema como punto de partida para ataques laterales dentro de la red corporativa.
La vulnerabilidad fue descubierta y reportada de forma responsable por los investigadores Sina Kheirkhah y Piotr Bazydlo (watchTowr), Markus Wulftange (CODE WHITE GmbH) y Cale Black (VulnCheck), quienes han sido reconocidos oficialmente por SmarterTools.
Parche crítico disponible desde enero de 2026SmarterTools corrigió CVE-2026-24423 en la Build 9511, publicada el 15 de enero de 2026. Esta misma versión también soluciona otra falla crítica, CVE-2026-23760 (CVSS 9,3), que ha sido explotada activamente en ataques reales durante las últimas semanas.
Aunque SmarterTools no ha revelado detalles técnicos completos sobre la explotación activa de CVE-2026-23760, la combinación de alta severidad, explotación confirmada y exposición directa a Internet convierte a SmarterMail en un objetivo atractivo para actores maliciosos, incluidos grupos de ransomware y operadores de botnets.
CVE-2026-25067: riesgo de ataques NTLM y autenticación no autorizadaAdemás de las fallas críticas, SmarterTools también abordó una vulnerabilidad de gravedad media, CVE-2026-25067, con una puntuación CVSS de 6,9. Aunque menos severa en apariencia, esta vulnerabilidad puede facilitar ataques avanzados de red en entornos Windows.
VulnCheck describió el problema como un caso de coerción de rutas no autenticadas que afecta al endpoint de vista previa en segundo plano de SmarterMail.
Citar"La aplicación decodifica en base64 la entrada suministrada por el atacante y la utiliza como una ruta del sistema de archivos sin ningún tipo de validación."
En sistemas Windows, esta debilidad permite resolver rutas UNC (Universal Naming Convention), lo que provoca que el servicio SmarterMail inicie conexiones SMB salientes hacia servidores controlados por el atacante. Este comportamiento puede ser explotado para:
- Coacción de credenciales
- Ataques de retransmisión NTLM
- Autenticación no autorizada en la red
- Movimiento lateral dentro del dominio
Este tipo de ataques es especialmente peligroso en entornos empresariales que aún dependen de NTLM para autenticación interna, una práctica que continúa siendo común en muchas infraestructuras heredadas.
Corrección adicional en la Build 9518La vulnerabilidad CVE-2026-25067 fue corregida en la Build 9518, publicada el 22 de enero de 2026. SmarterTools recomienda actualizar directamente a esta versión o superior para garantizar que todas las fallas conocidas estén mitigadas.
Dado que al menos dos vulnerabilidades en SmarterMail han sido explotadas activamente en la última semana, los expertos en seguridad subrayan la necesidad de aplicar las actualizaciones de inmediato, especialmente en servidores expuestos a Internet o integrados en infraestructuras críticas de correo electrónico.
Impacto para organizaciones y administradores de correoLos servidores de correo siguen siendo uno de los activos más valiosos y atacados dentro de las redes corporativas. Una explotación exitosa de SmarterMail podría permitir:
- Robo masivo de correos electrónicos
- Acceso a credenciales internas
- Instalación de puertas traseras persistentes
- Uso del servidor para campañas de phishing
- Despliegue de ransomware
La situación refuerza la importancia de gestionar el correo electrónico como infraestructura crítica, aplicando controles como segmentación de red, autenticación robusta, monitorización continua y parches de seguridad oportunos.
Recomendaciones de seguridadLos equipos de TI y ciberseguridad deben:
- Actualizar inmediatamente a SmarterMail Build 9518 o superior.
- Restringir el acceso a APIs administrativas.
- Monitorizar tráfico SMB saliente inusual.
- Deshabilitar NTLM cuando sea posible.
- Auditar logs en busca de indicadores de compromiso.
Fuente: https://thehackernews.com/