Aanvallers resetten admin-wachtwoord SmarterMail-servers via nieuw lek

In dit artikel:

Onderzoekers van watchTowr waarschuwen dat aanvallers actief misbruik maken van een nieuw lek in SmarterMail, waardoor het beheerderswachtwoord kan worden gereset en volledige remote code execution (RCE) op de host mogelijk wordt. SmarterMail is een Windows-/Linux-mailserver en groupware-alternatief voor Exchange. Het lek zit in een reset-API die wel om een oud wachtwoord vraagt, maar deze niet controleert; kwaadwillenden hebben alleen de admin-gebruikersnaam en een nieuw wachtwoord nodig om admin-toegang te verkrijgen. Met die rechten kan een aanvaller vervolgens een nieuw volume koppelen en willekeurige commando’s laten uitvoeren op het onderliggende besturingssysteem.

SmarterTools werd op 8 januari geïnformeerd en bracht op 15 januari een patch uit (het probleem heeft nog geen CVE-nummer). Hoewel watchTowr aanvankelijk nadere details wilde terughouden, maakte het die openbaar omdat er vanaf 17 januari al actieve uitbuiting en meldingen op het SmarterTools-forum werden gesignaleerd. SmarterTools was eerder bekritiseerd omdat een vorige release een kritisch opgelost probleem niet duidelijk meldde. Organisaties met SmarterMail worden dringend geadviseerd de update direct te installeren en hun systemen op verdachte activiteiten te controleren.