Jetzt updaten! Angreifer übernehmen SmarterMail-Instanzen als Admin

Derzeit haben es Angreifer auf SmarterMail-Instanzen abgesehen. Sind Attacken erfolgreich, erlangen sie als Admin die volle Kontrolle. Eine reparierte Version steht zum Download bereit.

Alle drei mittlerweile in SmarterMail 100.0.9511 geschlossenen Sicherheitslücken (CVE-2026-23760), CVE-2026-24423, CVE-2025-52691) sind mit dem Bedrohungsgrad „kritisch“ eingestuft. Alle vorigen Ausgaben sollen verwundbar sein. Der US-Sicherheitsbehörde CISA zufolge nutzen Angreifer die ersten beiden Schwachstellen bereits aus.

Ernste Gefahren

Im ersten Fall ist die Passwort-Reset-API löchrig und es kommt zu Fehlern beim Zurücksetzen von Systemadministratorkonten. Weil in diesem Kontext unzureichend geprüft wird, kommen anonyme Anfragen durch und Angreifer erstellen ohne Authentifizierung Admin-Konten. Im Anschluss können sie als Root auf den Host zugreifen, was einer vollständigen Kompromittierung gleichkommt.

Im zweiten Fall können Angreifer Verbindungen zu einem unter ihrer Kontrolle befindlichen HTTP-Server erzwingen und darüber Schadcode servieren. Die dritte Lücke ist mit dem maximalen CVSS Score 10 von 10 eingestuft. An dieser Stelle können entfernte Angreifer ohne Anmeldung Schadcode hochladen und ausführen.

In welchem Umfang die Attacken derzeit ablaufen, ist nicht bekannt. Unklar ist zum jetzigen Zeitpunkt auch, woran Admins bereits erfolgreich attackierte Instanzen erkennen können. In den Release Notes zu SmarterMail-Versionen finden sich nur äußerst knappe Hinweise auf die Sicherheitsprobleme.

Zumindest in einem Fall ist klar, dass Admins nach ihnen unbekannten Admin-Konten Ausschau halten und diese umgehend löschen müssen. Doch dann ist es wahrscheinlich schon zu spät, und Angreifer haben sich eine Hintertür eingerichtet. Dementsprechend müssen Admins Logdateien im Auge behalten und verdächtigen Netzwerkverkehr blockieren.

(des)