CVE-2026-24423

Суть уязвимости

Уязвимость CVE-2026-24423 в почтовом сервере SmarterTools SmarterMail связана с отсутствием проверки аутентификации при вызове критически важного метода API ConnectToHub.

Из-за этой логической ошибки неавторизованный злоумышленник может отправить специально сформированный запрос к уязвимому эндпоинту и заставить сервер SmarterMail инициировать исходящее подключение к произвольному (подконтрольному атакующему) HTTP-серверу. В ответ на это подключение вредоносный сервер может передать команды операционной системы, которые SmarterMail выполнит в контексте своего рабочего процесса. Это приводит к полному удаленному выполнению кода (RCE) и потенциальной компрометации всего почтового сервера.

Как исправить

Единственным надежным способом устранения данной уязвимости является обновление программного обеспечения до версии, в которой производитель внедрил проверку авторизации для метода ConnectToHub.

• Сделайте полный бэкап конфигурации SmarterMail и почтовых баз данных.
• Скачайте актуальный инсталлятор с официального сайта SmarterTools.
• Обновите SmarterMail до последней стабильной версии (или версии, в которой официально закрыта CVE-2026-24423 согласно release notes).
• После обновления проверьте логи веб-сервера на предмет попыток эксплуатации уязвимости в период до установки патча (ищите нетипичные POST/GET запросы к эндпоинтам, содержащим ConnectToHub).

Временные меры

Если немедленное обновление невозможно, необходимо применить компенсирующие меры для снижения риска эксплуатации.

• Блокировка уязвимого эндпоинта через IIS URL Rewrite: Если ваша архитектура не требует использования функционала ConnectToHub, заблокируйте доступ к этому URI на уровне веб-сервера IIS. Добавьте следующее правило в секцию <rewrite><rules> файла web.config в корневой директории веб-интерфейса SmarterMail: ```xml <rule name="Block ConnectToHub API" stopProcessing="true"> <match url=".*ConnectToHub.*" ignoreCase="true" /> <action type="CustomResponse" statusCode="403" statusReason="Forbidden" statusDescription="Blocked by Virtual Patch" /> </rule>

*   **Ограничение исходящего трафика (Egress Filtering):**
    Поскольку для успешной эксплуатации серверу SmarterMail необходимо подключиться к внешнему вредоносного HTTP-серверу, жестко ограничьте исходящие соединения для процесса `mailservice.exe`. Разрешите доступ только к доверенным IP-адресам (например, серверам обновлений или антиспам-базам).
    Пример команды для создания запрещающего правила в Windows Defender Firewall:
    ```powershell
    New-NetFirewallRule -DisplayName "Block SmarterMail Outbound HTTP" -Direction Outbound -Program "C:\Program Files (x86)\SmarterTools\SmarterMail\Service\mailservice.exe" -Action Block -Protocol TCP -RemotePort 80,443

• Настройка WAF (Web Application Firewall): Создайте сигнатуру на вашем WAF для блокировки любых входящих HTTP-запросов, содержащих обращение к пути ConnectToHub, если запрос не содержит валидных сессионных cookie или токенов авторизации.

• Мониторинг процессов (EDR/Sysmon): Настройте алерты на запуск подозрительных дочерних процессов (таких как cmd.exe, powershell.exe, certutil.exe) от родительского процесса mailservice.exe. Это позволит выявить успешную эксплуатацию RCE.