Uma nova vaga de preocupação varre o mundo da cibersegurança, com a descoberta de que milhares de servidores de e-mail estão vulneráveis a ataques que permitem a tomada de controlo total por piratas informáticos. A organização de segurança sem fins lucrativos Shadowserver identificou mais de 6000 instalações do SmarterMail expostas online e provavelmente vulneráveis a uma exploração que contorna a autenticação do sistema.
A falha, que abre as portas para a execução remota de código, já motivou avisos de agências governamentais e especialistas da indústria, exigindo uma ação imediata por parte dos administradores de sistemas.
Controlo total através de redefinição de palavra-passe
A vulnerabilidade, agora catalogada como CVE-2026-23760, foi reportada originalmente pela empresa de cibersegurança watchTowr à equipa de desenvolvimento da SmarterTools no dia 8 de janeiro. Embora a empresa tenha lançado uma correção a 15 de janeiro (a partir da build 9511), a adoção parece estar a ser lenta.
Classificada com gravidade crítica, esta brecha de segurança reside na API de recuperação de credenciais. Conforme detalhado na base de dados nacional de vulnerabilidades do NIST, o endpoint responsável por forçar a redefinição da palavra-passe aceita pedidos anónimos e falha na verificação da senha existente ou do token de recuperação.
Isto significa que um atacante não autenticado pode simplesmente fornecer o nome de utilizador de um administrador alvo e definir uma nova palavra-passe, ganhando acesso imediato e total à instância do SmarterMail. A partir daí, é possível obter a execução remota de código no servidor anfitrião, comprometendo todos os dados e comunicações geridas pela plataforma.
Exploração ativa e ultimato da CISA
A situação agrava-se com a confirmação de que esta vulnerabilidade já está a ser ativamente explorada "in the wild". A watchTowr partilhou um conceito de prova de exploração (PoC) que requer apenas o conhecimento do nome de utilizador do administrador, e a empresa de segurança Huntress confirmou a existência de ataques maliciosos que sugerem uma exploração automatizada em massa.
Na passada segunda-feira, a Shadowserver revelou que está a monitorizar mais de 6000 servidores (com forte incidência na América do Norte e Ásia) que permanecem por atualizar. Adicionalmente, o investigador Yutaka Sejiyama, da Macnica, apontou que as suas análises detetaram mais de 8550 instâncias ainda vulneráveis.
Perante o risco elevado, a CISA (Agência de Cibersegurança e Segurança de Infraestruturas dos EUA) adicionou a CVE-2026-23760 ao seu catálogo de vulnerabilidades exploradas conhecidas, ordenando às agências federais norte-americanas que protejam os seus servidores até ao dia 16 de fevereiro. A recomendação é clara: aplicar as mitigações fornecidas pelo fabricante ou descontinuar o uso do produto até que a segurança esteja garantida.
Nenhum comentário
Seja o primeiro!