SmarterMail’de 3 Kritik Güvenlik Açığı: Kimlik Doğrulamasız RCE ve NTLM Relay Tehdidi

Anasayfa » SmarterMail’de 3 Kritik Güvenlik Açığı: Kimlik Doğrulamasız RCE ve NTLM Relay Tehdidi
APT, Siber Güvenlik, Zafiyetler
Şubat 1, 2026Şubat 1, 2026Tarafından Cybernews.TR
0
SmarterMail’de 3 Kritik Güvenlik Açığı: Kimlik Doğrulamasız RCE ve NTLM Relay Tehdidi

SmarterMail platformunda, kimlik doğrulaması gerektirmeyen kritik bir uzaktan kod yürütme (RCE) açığı tespit edildi ve 15 Ocak 2026’da yayımlanan Build 9511 sürümüyle giderildi. CVE-2026-24423 olarak izlenen bu zafiyet, ConnectToHub API yönteminde ortaya çıktı ve CVSS skoru 9.3 olarak belirlendi. Saldırganlar, hedef sistemi kötü amaçlı bir HTTP sunucusuna yönlendirerek, işletim sistemi komutlarını uzaktan çalıştırabiliyor.

Saldırı Zinciri ve Teknik Detaylar

Bu kritik açığın istismarında saldırganlar şu adımları izliyor:

  • Hedef SmarterMail sürümünün 9511 öncesi olması
  • ConnectToHub API’sine kötü amaçlı istek gönderilmesi
  • Sunucunun, saldırgan kontrolündeki HTTP kaynağından zararlı komut alması
  • Komutların, kimlik doğrulaması olmadan işletim sistemi üzerinde çalıştırılması

Bu süreç, özellikle e-posta güvenliği ve ağ segmentasyonu açısından ciddi riskler oluşturuyor. Ayrıca, aynı sürümde CVE-2026-23760 kodlu ve yine 9.3 CVSS puanına sahip başka bir kritik açık da kapatıldı.

NTLM Relay ve Kimlik Doğrulamasız Yol Zorlama

SmarterTools, 22 Ocak 2026’da yayımlanan Build 9518 sürümüyle, orta şiddette bir başka güvenlik açığını da yamaladı. CVE-2026-25067 olarak izlenen bu zafiyet, background-of-the-day önizleme uç noktasında kimlik doğrulaması olmadan yol zorlama (path traversal) yapılmasına olanak tanıyordu. VulnCheck tarafından yapılan analizde, uygulamanın saldırgan tarafından sağlanan base64 kodlu girdiyi doğrulamadan dosya sistemi yolu olarak kullandığı belirtildi.

Windows ortamlarında bu durum, UNC (Universal Naming Convention) yollarının çözülmesine ve SmarterMail servisinin saldırgan kontrolündeki sunuculara SMB kimlik doğrulama denemeleri başlatmasına neden oluyor. Bu da NTLM relay saldırıları ve yetkisiz ağ kimlik doğrulaması için zemin hazırlıyor.

Siber Güvenlik Ekipleri İçin Öneriler

  • SmarterMail sunucularını derhal Build 9518 veya üzeri sürüme güncelleyin.
  • ConnectToHub API çağrılarını ve background-of-the-day uç noktasını içeren tüm HTTP isteklerini detaylı şekilde loglayın.
  • EDR çözümleri ile anormal komut yürütme ve SMB trafiğini izleyin.
  • NTLM relay saldırılarını önlemek için ağ segmentasyonu ve SMB protokolü kısıtlamaları uygulayın.
  • Kimlik doğrulama süreçlerini güçlendirmek için mümkünse MFA (Çok Faktörlü Kimlik Doğrulama) kullanın.
  • SIEM sistemlerinde bu zafiyetlere yönelik özel uyarı kuralları oluşturun.
  • Olay müdahale (incident response) planlarınızı, bu tür kimlik doğrulamasız RCE ve relay saldırılarına karşı güncelleyin.

Kurumsal Ortamlarda Olası Senaryo

Örneğin, bir finans kurumunda kullanılan SmarterMail sunucusu bu açıklar nedeniyle hedef alınabilir. Saldırgan, ConnectToHub API üzerinden kötü amaçlı komut göndererek sistemde arka kapı oluşturabilir. Ardından, NTLM relay açığını kullanarak ağ içi kimlik bilgilerini ele geçirip, kritik finansal verilere erişim sağlayabilir. Bu tür saldırılar, hem veri sızıntısı hem de fidye yazılımı kampanyalarının başlangıcı olabilir.

Son raporlar, SmarterMail’deki bu zafiyetlerin aktif olarak istismar edildiğini gösteriyor. Bu nedenle, özellikle kritik altyapı ve kurumsal e-posta sistemleri yöneticilerinin hızlı hareket etmesi gerekiyor.

, , , , , , ,