A segurança dos servidores de correio eletrónico está novamente sob fogo cruzado. A Agência de Cibersegurança e Segurança de Infraestruturas dos EUA (CISA) emitiu um aviso urgente referente a uma vulnerabilidade crítica no SmarterMail, uma plataforma popular de gestão de email e colaboração. A falha está a ser ativamente explorada por piratas informáticos para lançar ataques de ransomware, colocando em risco milhares de empresas e fornecedores de serviços.
Uma porta aberta para o controlo total
A vulnerabilidade em questão, catalogada como CVE-2026-24423, afeta as versões do SmarterTools SmarterMail anteriores à compilação 9511. O problema reside na falta de autenticação num método específico da API, o que permite que atacantes remotos executem código malicioso sem precisarem de qualquer tipo de credencial ou acesso prévio.
Esta brecha de segurança é particularmente grave dado o perfil dos utilizadores do SmarterMail. A plataforma é amplamente utilizada por fornecedores de serviços geridos (MSPs) e empresas de alojamento web, servindo cerca de 15 milhões de utilizadores em 120 países. Se um atacante conseguir explorar esta falha, pode assumir o controlo total do servidor, permitindo a exfiltração de dados sensíveis ou a encriptação dos sistemas para pedir resgate.
A descoberta foi feita por investigadores de segurança da watchTowr, CODE WHITE e VulnCheck, que reportaram o problema à SmarterTools. A empresa agiu rapidamente, disponibilizando uma correção no dia 15 de janeiro com a versão Build 9511. No entanto, a CISA confirma que os criminosos não perderam tempo e já estão a usar esta falha em campanhas ativas.
Atualização imediata é obrigatória
Para além desta falha crítica, os investigadores descobriram um segundo problema, identificado internamente como WT-2026-0001. Esta vulnerabilidade adicional permite redefinir a palavra-passe de administrador sem verificação, tendo sido também alvo de exploração pouco tempo após a disponibilização das correções iniciais.
Face à gravidade da situação, a CISA determinou que todas as agências federais norte-americanas devem aplicar as atualizações de segurança ou deixar de utilizar o produto até ao dia 26 de fevereiro de 2026. Para o setor privado e administradores de sistemas em geral, a recomendação é a mesma: atualizar imediatamente para a versão mais recente disponível.
A SmarterTools já corrigiu estas vulnerabilidades e recomenda a instalação da compilação mais recente, atualmente a 9526, lançada a 30 de janeiro. A inação pode resultar no comprometimento total das comunicações empresariais, conforme alerta a CISA na sua atualização ao catálogo de vulnerabilidades exploradas.
Nenhum comentário
Seja o primeiro!