Tuần trước, SmarterTools đã xác nhận rằng nhóm ransomware Warlock (hay còn gọi là Storm-2603) đã xâm nhập mạng của họ bằng cách khai thác một phiên bản SmarterMail chưa được vá.
Sự cố xảy ra vào ngày 29 tháng 1 năm 2026, khi một máy chủ thư chưa được cập nhật lên phiên bản mới nhất đã bị xâm phạm, Giám đốc Thương mại của công ty, Derek Curtis, cho biết.
"Trước khi xảy ra vi phạm, chúng tôi có khoảng 30 máy chủ/VMs cài đặt SmarterMail trên toàn mạng lưới," Curtis giải thích. "Thật không may, chúng tôi không biết về một VM, được thiết lập bởi một nhân viên, mà không được cập nhật. Kết quả là, máy chủ thư đó đã bị xâm phạm, dẫn đến sự cố."
Tuy nhiên, SmarterTools nhấn mạnh rằng vụ xâm nhập không ảnh hưởng đến trang web, giỏ hàng, cổng thông tin My Account và một số dịch vụ khác của họ, đồng thời không có ứng dụng kinh doanh hay dữ liệu tài khoản nào bị ảnh hưởng hoặc xâm phạm.
Khoảng 12 máy chủ Windows trên mạng văn phòng của công ty, cũng như một trung tâm dữ liệu thứ cấp được sử dụng cho các thử nghiệm kiểm soát chất lượng (QC), đã được xác nhận bị ảnh hưởng. Theo CEO Tim Uzzanti, "cuộc tấn công ransomware" này cũng tác động đến các khách hàng đang sử dụng SmarterTrack được lưu trữ.
"Các khách hàng được lưu trữ sử dụng SmarterTrack bị ảnh hưởng nhiều nhất," Uzzanti nói trong một bài đăng khác trên Community Portal. "Điều này không phải do bất kỳ vấn đề nào bên trong SmarterTrack, mà là vì môi trường đó dễ tiếp cận hơn những môi trường khác một khi họ đã xâm nhập mạng của chúng tôi."
Hơn nữa, SmarterTools thừa nhận rằng nhóm Warlock đã chờ vài ngày sau khi giành được quyền truy cập ban đầu để kiểm soát máy chủ Active Directory và tạo người dùng mới, sau đó thả các payload bổ sung như Velociraptor và công cụ khóa để mã hóa tệp.
"Một khi những kẻ tấn công này có quyền truy cập, chúng thường cài đặt các tệp và đợi khoảng 6–7 ngày trước khi thực hiện hành động tiếp theo," Curtis nói. "Điều này giải thích tại sao một số khách hàng bị xâm phạm ngay cả sau khi cập nhật – vi phạm ban đầu xảy ra trước khi cập nhật, nhưng hoạt động độc hại được kích hoạt sau đó."
Các lỗ hổng SmarterMail bị khai thác
Hiện tại, vẫn chưa rõ lỗ hổng SmarterMail nào đã bị kẻ tấn công khai thác, nhưng cần lưu ý rằng nhiều lỗ hổng trong phần mềm email – CVE-2025-52691 (điểm CVSS: 10.0), CVE-2026-23760, và CVE-2026-24423 (điểm CVSS: 9.3) – đã bị khai thác tích cực trong thực tế.
CVE-2026-23760 là một lỗ hổng authentication bypass có thể cho phép bất kỳ người dùng nào đặt lại mật khẩu quản trị viên hệ thống SmarterMail bằng cách gửi một yêu cầu HTTP được tạo đặc biệt. Mặt khác, CVE-2026-24423 khai thác một điểm yếu trong phương thức ConnectToHub API để đạt được unauthenticated remote code execution (RCE).
Các lỗ hổng đã được SmarterTools khắc phục trong bản build 9511. Tuần trước, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã xác nhận rằng CVE-2026-24423 đang bị khai thác trong các cuộc tấn công ransomware.
Trong một báo cáo được công bố vào thứ Hai, công ty an ninh mạng ReliaQuest cho biết họ đã xác định hoạt động có khả năng liên quan đến Warlock, liên quan đến việc lạm dụng CVE-2026-23760 để bypass authentication và triển khai payload ransomware trên các hệ thống tiếp xúc internet. Cuộc tấn công cũng tận dụng quyền truy cập ban đầu để tải xuống một trình cài đặt MSI độc hại ("v4.msi") từ Supabase, một nền tảng backend dựa trên đám mây hợp pháp, để cài đặt Velociraptor.
"Mặc dù lỗ hổng này cho phép kẻ tấn công bypass authentication và đặt lại mật khẩu quản trị viên, Storm-2603 đã kết hợp quyền truy cập này với tính năng 'Volume Mount' tích hợp của phần mềm để giành quyền kiểm soát hệ thống hoàn toàn," nhà nghiên cứu bảo mật Alexa Feminella cho biết. "Khi xâm nhập, nhóm cài đặt Velociraptor, một công cụ điều tra kỹ thuật số hợp pháp mà chúng đã sử dụng trong các chiến dịch trước đây, để duy trì quyền truy cập và chuẩn bị cho ransomware."
Tổ chức an ninh cũng lưu ý rằng hai lỗ hổng này có cùng kết quả cuối cùng: trong khi CVE-2026-23760 cấp quyền truy cập quản trị không xác thực thông qua API đặt lại mật khẩu, sau đó có thể kết hợp với logic gắn kết để đạt được code execution, thì CVE-2026-24423 cung cấp một con đường trực tiếp hơn để code execution thông qua một đường dẫn API.
Việc kẻ tấn công theo đuổi phương pháp trước đó là một dấu hiệu cho thấy nó có thể cho phép hoạt động độc hại hòa nhập vào các quy trình làm việc quản trị thông thường, giúp chúng tránh bị phát hiện.
"Bằng cách lạm dụng các tính năng hợp pháp (đặt lại mật khẩu và gắn ổ đĩa) thay vì chỉ dựa vào một exploit primitive 'ồn ào' duy nhất, các nhà điều hành có thể giảm hiệu quả của các cơ chế phát hiện được điều chỉnh đặc biệt cho các mẫu RCE đã biết," Feminella nói thêm. "Tốc độ vũ khí hóa này phù hợp với việc các nhà điều hành ransomware nhanh chóng phân tích các bản vá của nhà cung cấp và phát triển kỹ thuật tấn công ngay sau khi phát hành."
Người dùng SmarterMail được khuyên nên nâng cấp lên phiên bản mới nhất (Build 9526) ngay lập tức để được bảo vệ tối ưu, và cô lập các máy chủ thư để chặn các nỗ lực di chuyển ngang được sử dụng để triển khai ransomware.
