Falha crítica no método ConnectToHub permite execução de comandos em servidores SmarterMail anteriores ao Build 9511 e foi incluída no catálogo de vulnerabilidades exploradas da CISA.
| Componente | SmarterTools SmarterMail, especialmente o método ConnectToHub e o endpoint /api/v1/settings/sysadmin/connect-to-hub em versões anteriores ao Build 9511. |
| Vetor | Requisição POST não autenticada com dados JSON para endpoint que aceita usuários anônimos e processa parâmetros controlados pelo atacante, incluindo hubAddress e CommandMount. |
| Impacto | Execução remota de comandos arbitrários pelo aplicativo vulnerável; a CISA adicionou CVE-2026-24423 ao catálogo KEV e informou uso em campanhas de ransomware. |
| Prioridade | Atualizar imediatamente para versão corrigida, validar exposição dos endpoints administrativos, revisar logs de acesso e investigar interações suspeitas com o caminho connect-to-hub. |
| Versões | CVE-2026-24423 afeta SmarterMail anterior ao Build 9511; CVE-2026-25067 foi corrigida no Build 9518. |
| Artefatos | MailService.dll, parâmetro hubAddress, parâmetro CommandMount, endpoint /api/v1/licensing/about e endpoint de pré-visualização background-of-the-day. |
A SmarterTools corrigiu uma vulnerabilidade crítica de execução remota de código no SmarterMail identificada como CVE-2026-24423, com pontuação CVSS 9.3. A falha está associada ao método ConnectToHub e afeta instalações anteriores ao Build 9511. O ponto central do problema é que o endpoint exposto para conexão ao hub aceita acesso sem autenticação e processa dados enviados pelo cliente de uma forma que permite influenciar o caminho de montagem e a execução de comando pelo serviço vulnerável.
O risco é elevado porque o acionamento não depende de credenciais válidas. O invasor pode direcionar a aplicação para um servidor HTTP sob seu controle, que entrega uma resposta capaz de induzir a execução de comando no sistema operacional pelo SmarterMail. A correção principal foi publicada no Build 9511, lançado em 15 de janeiro de 2026. O mesmo build também corrigiu CVE-2026-23760, outra falha crítica com CVSS 9.3 que entrou em exploração ativa, aumentando a urgência de atualização em ambientes que expõem SmarterMail à internet.
A CISA adicionou CVE-2026-24423 ao catálogo Known Exploited Vulnerabilities em 5 de fevereiro de 2026 e estabeleceu prazo de correção para agências federais civis dos Estados Unidos até 26 de fevereiro de 2026. O registro da CISA também associa a exploração da falha a campanhas de ransomware. Para operadores de segurança, isso muda a prioridade de tratamento: não se trata apenas de corrigir uma falha teórica de alto impacto, mas de validar rapidamente se endpoints vulneráveis foram acessados, se houve tentativa de execução de comandos e se há sinais posteriores compatíveis com intrusão.
A falha CVE-2026-24423 ocorre no endpoint /api/v1/settings/sysadmin/connect-to-hub, usado para configurar a conexão do servidor SmarterMail a um hub. O endpoint é definido em MailService.dll, aceita usuários anônimos e processa dados JSON enviados por requisições POST. Essa combinação cria uma superfície crítica: uma rota administrativa sensível fica alcançável sem autenticação e consome parâmetros que alteram comportamento de montagem e conexão do serviço.
O fluxo explorável envolve o parâmetro hubAddress, que pode apontar para um servidor controlado pelo atacante. A aplicação vulnerável consulta esse endereço remoto e passa a processar dados que podem incluir um parâmetro CommandMount malicioso. O efeito descrito é a execução de um comando arbitrário pelo aplicativo vulnerável. Em termos defensivos, a condição importante é a presença de uma instalação anterior ao Build 9511 com o endpoint acessível e sem controle compensatório capaz de bloquear a requisição antes que ela alcance o serviço.
A cadeia não deve ser tratada como simples falha de validação de entrada isolada. O problema combina exposição sem autenticação, processamento de JSON em rota sensível, confiança indevida em endereço remoto informado pelo cliente e uso de valor controlado para acionar comportamento no sistema operacional. Essa sequência reduz a necessidade de interação do usuário e torna a exploração adequada para varredura automatizada contra servidores publicados. Em campanhas de ransomware, esse tipo de RCE costuma ser útil como porta de entrada para execução inicial, implantação de ferramentas adicionais e preparação de etapas posteriores, mas qualquer conclusão sobre pós-exploração em um ambiente específico depende de evidências locais de endpoint, rede e identidade.
Além da RCE, a SmarterTools corrigiu CVE-2026-25067, uma vulnerabilidade de severidade média com CVSS 6.9. Essa falha é descrita como coerção de caminho sem autenticação no endpoint de pré-visualização background-of-the-day. A aplicação decodifica entrada fornecida pelo atacante em base64 e usa o resultado como caminho de sistema de arquivos sem validação adequada. Em sistemas Windows, caminhos UNC podem ser resolvidos e fazer com que o serviço SmarterMail inicie tentativas de autenticação SMB de saída para hosts controlados por terceiros, abrindo espaço para coerção de credenciais, relay NTLM e autenticação de rede não autorizada.
A superfície mais crítica está em servidores SmarterMail anteriores ao Build 9511, especialmente quando o endpoint /api/v1/settings/sysadmin/connect-to-hub é alcançável por redes não confiáveis. O contexto também identifica a versão anterior a 100.0.9511 como vulnerável à execução remota sem autenticação no ConnectToHub. A exposição não exige uma sessão administrativa válida, portanto controles baseados apenas em senha forte ou MFA para contas administrativas não eliminam o risco se a rota vulnerável continuar acessível.
Ambientes Windows também devem avaliar CVE-2026-25067 até o Build 9518, porque a coerção de caminho pode acionar autenticação SMB de saída. Mesmo sem execução direta de código, esse comportamento é relevante em redes corporativas que ainda permitem NTLM, resolução UNC e tráfego SMB para destinos externos ou segmentos não confiáveis. O impacto defensivo inclui risco de captura ou retransmissão de autenticação, dependendo da configuração do domínio, segmentação de rede, políticas de assinatura SMB e controles contra relay NTLM.
- Servidores SmarterMail expostos à internet com builds anteriores ao 9511 devem ser considerados prioritários para correção e investigação.
- Instalações que permitem tráfego SMB de saída a partir do servidor de e-mail exigem revisão adicional por causa de
CVE-2026-25067. - Ambientes que registraram acessos ao endpoint
connect-to-hubantes da atualização precisam de análise de comprometimento, não apenas confirmação de patch. - O endpoint
/api/v1/licensing/aboutpode revelar versão sem autenticação e deve ser considerado na avaliação de exposição e inventário.
A investigação deve começar pelos logs HTTP e de aplicação do SmarterMail, procurando requisições ao caminho /api/v1/settings/sysadmin/connect-to-hub. Em versões corrigidas, a resposta observada para esse endpoint pode não seguir o mesmo comportamento vulnerável; por isso, a análise deve correlacionar data, build instalado no momento do acesso, origem da requisição, método usado, tamanho do corpo JSON e resposta HTTP. A presença de requisições POST vindas de endereços externos desconhecidos é um sinal de alto interesse, especialmente se acompanhada por parâmetros associados a endereço remoto ou montagem de comando.
A telemetria de endpoint deve procurar processos filhos incomuns do serviço SmarterMail, criação de arquivos fora de diretórios esperados, conexões de saída iniciadas imediatamente após acesso ao endpoint vulnerável e eventos de segurança compatíveis com execução de comando por serviço de aplicação. Como a publicação não fornece hashes, domínios ou famílias de malware específicas, a defesa não deve depender de IoCs fixos. A abordagem mais confiável é comportamental: encadear acesso HTTP anômalo, execução de processo pelo serviço, comunicação de rede subsequente e alterações persistentes no host.
Para CVE-2026-25067, a caça deve incluir eventos de resolução de caminho UNC e tentativas SMB de saída originadas pelo servidor SmarterMail. Conexões para hosts externos ou segmentos inesperados, eventos NTLM fora do padrão, falhas de autenticação em sequência e tráfego para porta 445 iniciado por processo do serviço de e-mail merecem investigação. Quando possível, esses sinais devem ser cruzados com logs de firewall, proxy, EDR, controlador de domínio e autenticação Windows.
- Requisições
POSTpara/api/v1/settings/sysadmin/connect-to-hubantes da aplicação do Build 9511. - Consultas não autenticadas ao endpoint
/api/v1/licensing/aboutusadas para identificar versão exposta. - Processos inesperados iniciados pelo serviço SmarterMail ou por componentes relacionados a
MailService.dll. - Conexões SMB de saída, especialmente para destinos externos ou não reconhecidos, originadas do servidor de e-mail.
- Eventos NTLM incomuns próximos a acessos ao endpoint de pré-visualização
background-of-the-day.
A primeira medida é atualizar o SmarterMail para build corrigido. Para a RCE CVE-2026-24423, o mínimo citado é o Build 9511, mas a presença de CVE-2026-25067 corrigida no Build 9518 torna recomendável adotar a versão mais recente disponível dentro da linha suportada. Após a atualização, a equipe deve registrar a versão instalada, a data de aplicação, o horário de reinício dos serviços e o intervalo exato em que o sistema permaneceu vulnerável, pois isso orienta a janela de caça retrospectiva.
A contenção deve reduzir a exposição de endpoints administrativos e de sistema. Servidores de e-mail normalmente precisam receber tráfego SMTP, IMAP, POP ou webmail conforme a arquitetura local, mas rotas administrativas e APIs sensíveis não devem ficar irrestritamente acessíveis a partir da internet. Controles de proxy reverso, allowlist administrativa, segmentação e filtragem por caminho podem reduzir risco, desde que não substituam a correção. Para a falha de coerção NTLM, a rede deve bloquear SMB de saída para destinos não autorizados e revisar políticas que permitam relay NTLM.
Depois do patch, a validação precisa incluir testes não destrutivos de versão, revisão de logs e busca de artefatos de pós-exploração. Caso haja evidência de acesso suspeito ao endpoint vulnerável, a resposta deve tratar o servidor como potencialmente comprometido: preservar logs, isolar quando necessário, coletar memória e artefatos de processo conforme capacidade local, revisar contas e tokens acessíveis ao host, verificar tarefas agendadas, serviços recém-criados e conexões persistentes. Se houver indício de ransomware, o escopo deve se expandir para compartilhamentos, controladores de domínio, backups, credenciais privilegiadas e movimentação a partir do servidor de e-mail.
- Aplicar build corrigido, preferencialmente Build 9518 ou posterior, para cobrir as falhas descritas.
- Restringir acesso externo a APIs administrativas e validar regras de proxy, WAF e firewall por caminho.
- Bloquear ou limitar SMB de saída a partir do servidor SmarterMail e revisar exposição a relay NTLM.
- Investigar retrospectivamente acessos ao endpoint
connect-to-hubno período anterior ao patch. - Correlacionar logs de aplicação, EDR, firewall e autenticação antes de considerar o incidente encerrado.
0 Comentários