Zevenduizend SmarterMail-servers missen update voor zeer kritiek lek
Ruim zevenduizend SmarterMail-servers, waarvan zo'n veertig in Nederland, missen een beveiligingsupdate voor een zeer kritieke kwetsbaarheid waardoor een ongeauthenticeerde aanvaller de server op afstand kan overnemen. Dat meldt The Shadowserver Foundation. SmarterMail wordt omschreven als een Windows/Linux-gebaseerde mailserver en groupware-alternatief voor Microsoft Exchange. Softwarebedrijf SmarterTools, de ontwikkelaar van SmarterMail, kwam vorig jaar oktober met de update, maar meldde destijds niet dat het beveiligingslek (CVE-2025-52691) was verholpen.
Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller willekeurige bestanden naar elke locatie op de mailserver uploaden, wat kan leiden tot remote code execution. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Op 29 december maakte de Singaporese overheid het bestaan van CVE-2025-52691 bekend. Onderzoekers van securitybedrijf watchTowr deden onderzoek en stelden vervolgens dat SmarterTools de kwetsbaarheid stilletjes had gepatcht in build 9413, die op 10 oktober vorig jaar was uitgebracht.
Klanten van SmarterTools zijn zeer verontwaardigd over het achterhouden van deze belangrijke informatie, zo blijkt uit een forumtopic op de website van het softwarebedrijf. SmarterTools zegt dat het de informatie heeft achtergehouden om aanvallers niet wijzer te maken en klanten de tijd te geven om de update te installeren. Het softwarebedrijf heeft naar aanleiding van alle kritiek inmiddels een e-mail over de kwetsbaarheid naar klanten gestuurd.
The Shadowserver Foundation is een stichting die onderzoek doet naar kwetsbare systemen op internet. Gisteren detecteerden onderzoekers zo'n 18.500 SmarterMail-servers op internet. 7600 van deze servers hebben de update die kwetsbaarheid CVE-2025-52691 verhelpt niet geïnstalleerd. Het grootste deel daarvan, zo'n 5300, bevinden zich in de Verenigde Staten. In Nederland gaat het om zo'n veertig servers. Verschillende klanten maken op het forum van SmarterTools melding dat hun mailserver is gecompromitteerd, maar het is nog onduidelijk of dit via het betreffende beveiligingslek is gebeurd. Proof-of-concept exploitcode om van de kwetsbaarheid misbruik te maken is inmiddels op internet verschenen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?