軟體開發商SmarterTools於1月15日發布更新,為旗下郵件伺服器SmarterMail修補重大層級漏洞CVE-2026-23760,一週後兩家資安公司watchTowr與Huntress提出警告,指出有人將其用於挾持SmarterMail的特權帳號,本週有資安公司揭露最新調查結果,說明中國駭客將其用於勒索軟體攻擊。
資安公司ReliaQuest指出,他們發現CVE-2026-23760遭到積極利用的跡象,經過調查,確認是中國駭客組織Storm-2603所為,最終目的是使用勒索軟體Warlock加密檔案。值得留意的是,雖然該漏洞可被用於繞過身分驗證流程,並重設管理員密碼,不過這些駭客並未這麼做,而是在取得存取權限後,串連SmarterMail內建的磁碟掛載功能(Volume Mount),得到完全控制受害系統的能力。得逞後,駭客部署數位鑑識工具Velociraptor,藉此建立長期存取權限,並為後續勒索軟體活動做準備。
巧合的是,美國網站安全暨基礎設施安全局(CISA)於2月5日提出警告,SmarterMail另一個資安漏洞CVE-2026-24423已被用於勒索軟體活動,由於探測到該漏洞的時間與Storm-2603活動重疊,但發動攻擊的來源不同,因此ReliaQuest推測,有可能是這些駭客輪換IP位址所為,或是其他團隊的活動。
SmarterMail是由SmarterTools開發的郵件伺服器與協作平臺,標榜是成本低廉的Exchange替代方案,且功能齊全,部署較具彈性,企業能使用Windows Server、Linux主機,或是Docker來架設。此套系統臺灣有代理商引進,也有主機代管商或IT服務廠商提供郵件伺服器代管服務,因此相關漏洞利用活動臺灣可能會受到波及。
針對漏洞利用活動發生的過程,ReliaQuest指出Storm-2603利用CVE-2026-23760進行滲透,從而控制整個SmarterMail系統,但為了進一步掌握底層的Windows Server,以便讓惡意程式以作業系統層級運作,他們利用SmarterMail內建的磁碟掛載功能,下達惡意指令。此功能顧名思義,用途就是讓管理者掛載網路磁碟,由於SmarterMail信任管理員輸入的內容,不會對相關命令進行檢查,而且,這些指令都會繼承SmarterMail服務取得的高權限,駭客便是看上這點,將其用於發動遠端程式碼(RCE)攻擊。ReliaQuest指出,駭客將API弱點與濫用應用系統內建功能串連,代表他們的手法相當複雜。
一旦上述的手法成功,Storm-2603就會透過公用程式msiexec,從雲端開發後端平臺Supabase下載惡意酬載v4.msi。此下載過程仰賴SmarterMail的服務,駭客利用該郵件系統的處理程序MailService.exe生成指令Shell,將上述下載惡意軟體的流量偽裝成一般的常態系統活動。有效酬載最終在受害主機部署Velociraptor充當後門,駭客曾嘗試植入Warlock,但並未得逞。
針對這起攻擊活動被利用的漏洞,CVE-2026-23760可被用於身分驗證繞過,該漏洞存在於SmarterMail的密碼重設API,未經身分驗證的攻擊者可藉此挾持管理員帳號,導致該郵件伺服器遭到全面入侵,CVSS v3.1風險評為9.8分、CVSS v4.0為9.3分,為重大等級(Critical)風險。SmarterTools提及,若攻擊者取得SmarterMail管理權限,就有機會透過內建管理功能,以SYSTEM或root的權限,於主機底層執行作業系統命令。
另一項CISA提出警告的漏洞CVE-2026-24423,存在於ConnectToHub API,為遠端程式碼執行漏洞,未經授權的攻擊者可將SmarterMail指向惡意HTTP伺服器來利用漏洞,CVSS v3.1風險同樣達到9.8分、CVSS v4.0為9.3分。SmarterTools發布SmarterMail新版build 9511,修補上述兩個漏洞。
熱門新聞
2026-03-02
2026-03-02
2026-03-02
2026-03-02
2026-03-02
2026-02-26
2026-03-02