ثغرة خطيرة في SmarterMail تمنح القراصنة تحكماً كاملاً

بدأ القراصنة في استغلال ثغرة أمنية خطيرة تتعلق بتجاوز المصادقة في خادم البريد الإلكتروني وأداة التعاون SmarterMail التابعة لشركة SmarterTools، مما يسمح لهم بإعادة تعيين كلمات مرور المسؤولين (Admin) والسيطرة على النظام.

وتُستغل هذه الثغرة حالياً بشكل نشط، حيث تمكن المهاجمين غير المصادق عليهم من الحصول على امتيازات كاملة على النظام المستهدف.

آلية عمل الثغرة واستغلالها

تكمن المشكلة في نقطة النهاية الخاصة بواجهة برمجة التطبيقات (API) المسماة "force-reset-password"، والتي تم كشفها عن غير قصد دون الحاجة لمصادقة. وقد أبلغ باحثون في شركة الأمن السيبراني watchTowr عن هذه المشكلة في 8 يناير، وقامت SmarterMail بإصدار إصلاح في 15 يناير دون تعيين معرف خاص للثغرة.

ووفقاً للباحثين، فإن هذه الثغرة تقبل مدخلات JSON يتحكم فيها المهاجم، بما في ذلك خاصية "IsSysAdmin"، والتي إذا تم ضبطها على "true"، فإنها تجبر النظام الخلفي على تنفيذ منطق إعادة تعيين كلمة مرور مسؤول النظام.

مقالات ذات صلة

الأمن السيبراني

تحذير لمستخدمي OpenClaw: إضافات خبيثة تسرق بياناتك

منذ 55 دقيقة 1

الأمن السيبراني

تحذير أمني: مئات الإضافات الخبيثة في OpenClaw تسرق البيانات

منذ 58 دقيقة 1

الأمن السيبراني

تسريب بيانات هارفارد وبنسلفانيا بعد رفض الفدية

منذ ساعة 4

الأمن السيبراني

تحذير: ثغرة VMware ESXi تُستغل الآن في هجمات الفدية

منذ ساعتين 6

الأمن السيبراني

السجن 30 عاماً لمشغل Incognito Market: تاجر مخدرات الإنترنت

منذ ساعتين 5

الأمن السيبراني

تحذير عاجل: احتيال متقن باسم أبل باي يهدد أموالك

منذ 3 ساعات 5

مخاطر السيطرة الكاملة

أشار الباحثون إلى أن الآلية لا تقوم بأي ضوابط أمنية ولا تتحقق من كلمة المرور القديمة، على الرغم من وجود حقل "OldPassword" في الطلب. ونتيجة لذلك، يمكن لأي شخص يعرف أو يخمن اسم مستخدم المسؤول تعيين كلمة مرور جديدة واختراق الحساب.

تؤثر هذه الثغرة فقط على الحسابات بمستوى المسؤول، وليس المستخدمين العاديين. ومع ذلك، بمجرد الحصول على وصول بمستوى المسؤول، يمكن للمهاجمين تشغيل أوامر نظام التشغيل، مما يمنحهم تنفيذاً كاملاً للأكواد عن بُعد (RCE) على المضيف. وكما تظهر الصورة المرفقة التي أعدها باحثو watchTowr، يوضح نموذج إثبات المفهوم (PoC) كيفية الوصول إلى مستوى النظام (SYSTEM-level shell).

استغلال نشط في البرية

بعد معالجة المشكلة، وجد الباحثون أدلة تشير إلى أن الجهات الفاعلة في التهديد بدأت في استغلال الثغرة بعد يومين فقط من الإصلاح، مما يشير إلى أن القراصنة قاموا بالهندسة العكسية للتحديث واكتشفوا كيفية استغلال الخلل.

وقد أكد مستخدم مجهول للباحثين أن هناك من يقوم بإعادة تعيين كلمات مرور المسؤولين، مشيراً إلى منشور في منتدى يصف موقفاً مماثلاً. وأظهر فحص السجلات المشتركة أن هذه الهجمات استهدفت بالفعل نقطة النهاية "force-reset-password".

يُذكر أن SmarterMail هو خادم بريد إلكتروني يُستخدم عادةً من قبل مقدمي الخدمات المدارة (MSPs) والشركات الصغيرة والمتوسطة، وتدعي الشركة أن منتجاتها تخدم 15 مليون مستخدم. ويوصى المستخدمون بالترقية فوراً إلى أحدث إصدار من البرنامج، Build 9511، الذي يعالج هذه المشكلة وثغرة حرجة أخرى تم اكتشافها سابقاً.