CISA Advisory Highlights Exploited SmarterTools Vulnerability in Recent Ransomware Attacks
2026/02/06 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、SmarterTools SmarterMail に影響を及ぼす深刻な脆弱性 CVE-2026-24423 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。この脆弱性を悪用する攻撃者たちは、実環境における武器化を積極的に進めている。最近のランサムウェア・キャンペーンにおいて、この欠陥が悪用されていることを、セキュリティ研究者たちが確認している。
この KEV への追加により、連邦政府の民間行政機関 (FCEB) は、2026年2月26日までに修正を完了することが義務付けられる。利用可能な緩和策が存在しない場合には、セキュアなバージョンを展開できるまで、この製品の使用を中止すべきであると、CISA は勧告している。
すでに実環境で悪用されていることを踏まえ、このメールサーバ・ソフトウェアを使用する民間企業も、直ちにパッチを適用すべきである。
ConnectToHub における認証欠如
この脆弱性の中核は、SmarterMail のアーキテクチャ内に存在する、重要機能に対する認証欠如 (CWE-306) にある。具体的には、ConnectToHub API メソッドに問題が存在する。
重要な API 機能は、リクエスト元であるユーザーの正当性を検証すべきである。しかし、今回のケースでは、そのチェックが欠落している。この不備により、未認証のリモート攻撃者に対して、API との直接的なインタラクションが許されてしまう。
この問題を悪用する攻撃者は、自身が管理する悪意の HTTP サーバへの接続を、脆弱な SmarterMail インスタンスに対して強制できる。こうして接続を確立した攻撃者は、悪意のサーバから SmarterMail インスタンスへ向けて OS コマンドを送信する。
これらの入力に対する十分な検証がソフトウェア側で行われないため、これらのコマンドがホスト・システム上で実行される。その結果として、完全な Remote Code Execution (RCE) が成立し、攻撃者はメールサーバを制御下に置くことが可能になる。
このメールサーバは、ランサムウェア・オペレーターにとって格好の標的である。その理由は、二重恐喝に悪用できる機微データを大量に保持している点と、組織内ネットワーク全体へのラテラル・ムーブメントの足掛かりとなりやすい点にある。
CISA のアドバイザリが強調するのは、現時点で CVE-2026-24423 が、ランサムウェア・キャンペーンで悪用されていることである。API の欠陥を通じてコード実行を達成した攻撃者は、権限昇格/ネットワーク探索などを行い、最終的にはファイルを暗号化するためのツールを展開する。
| Feature | Details |
|---|---|
| CVE ID | CVE-2026-24423 |
| Vendor | SmarterTools |
| Product | SmarterMail |
| Vulnerability Type | Missing Authentication for Critical Function |
| Vector | Network (API) |
| Impact | Remote Code Execution (RCE) |
修正および緩和策
SmarterMail 環境を管理する管理者は、以下の対応を取る必要がある。
ベンダー・パッチの適用:すでに SmarterTools は更新版をリリースし、この欠陥に対処している。現在のビルド番号を、ベンダーが公開している最新リリースノートで照合すべきである。
サーバの隔離:即時のパッチ適用が困難な場合には、SmarterMail サーバをパブリック・インターネットから遮断する、もしくは、Web Application Firewall (WAF) を用いて API エンドポイントへのアクセスを制限する。
ログの監視:SmarterMail サービスにより開始された不審な外向き通信を、ログで精査する。未知の HTTP サーバへの接続が、危険であると疑うべきだ。
CISA は、利用可能な緩和策が存在しない場合、セキュアなバージョンを展開できるまで当該製品の使用を中止すべきであると勧告している。
この脆弱性 CVE-2026-24423 は、SmarterMail の重要な API 機能において、正当な権限を確認するための認証プロセスの欠落に起因します。この不備を突く攻撃者は、サーバを外部の悪意のサイトへ強制的に接続させ、そこから送られてくる命令を実行させてしまいます。送られたコマンドに対する検証も不十分であるため、最終的にサーバが乗っ取られてしまうリモート・コード実行が発生しました。CISA の KEV に登録されたことで、連邦政府機関での悪用が確認されたことになります。ご利用のチームは、ご注意ください。よろしければ、CVE-2026-24423 での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.