Aanvallers maken actief misbruik van een nieuwe kwetsbaarheid in SmarterMail om het wachtwoord van administrators te resetten. Zodra er admintoegang is verkregen is ook remote code execution op de onderliggende server mogelijk, zo laat securitybedrijf watchTowr weten. Een beveiligingsupdate voor het probleem, dat nog geen CVE-nummer heeft, verscheen op 15 januari. Twee dagen later werden de eerste aanvallen al waargenomen.

SmarterMail wordt omschreven als een Windows/Linux-gebaseerde mailserver en groupware-alternatief voor Microsoft Exchange. Gebruikers kunnen hun wachtwoord resetten. Bij een normale resetprocedure controleert SmarterMail het oude wachtwoord van de gebruiker voordat er een nieuw wachtwoord wordt ingesteld. Onderzoekers van watchTowr ontdekten een endpoint waardoor het mogelijk is om zonder geldig wachtwoord een reset uit te voeren.

De betreffende API (application programming interface) vereist een oud wachtwoord, maar controleert niet of de juist is. Het enige dat een aanvaller daardoor nodig heeft is de gebruikersnaam van het admin-account en een nieuw wachtwoord om zo admin-toegang tot de mailserver te krijgen. Zodra de aanvaller als admin is ingelogd kan die een nieuw volume mounten en dat van willekeurige commando's voorzien, die vervolgens door het onderliggende besturingssysteem worden uitgevoerd. "Op dat moment heeft de aanvaller volledige remote code execution op de onderliggende host", aldus de onderzoekers.

SmarterTools, de ontwikkelaar van SmarterMail, werd op 8 januari over het probleem ingelicht. Een week later op 15 januari verscheen een beveiligingsupdate, waarbij dit ook duidelijk in de release notes werd vermeld. SmarterTools kwam eerder nog onder vuur te liggen omdat het bij een vorige release had nagelaten te vermelden dat een kritiek probleem was opgelost. WatchTowr wilde eigenlijk de details nog niet vrijgeven, maar besloot dat wel te doen. Aanvallers maken namelijk al sinds 17 januari misbruik van het lek, zo blijkt ook uit berichten op het forum van SmarterTools.