کمیته رکن چهارم – شرکت SmarterTools تأیید کرده است که گروه باجافزاری Warlock با سوءاستفاده از یک نمونه بهروزرسانینشده SmarterMail موفق به نفوذ به شبکه داخلی این شرکت شده است.
به گزارش کمیته رکن چهارم، این رخداد در تاریخ ۲۹ ژانویه ۲۰۲۶ اتفاق افتاده و منشأ آن یک سرور ایمیل بوده که به آخرین نسخه امنیتی ارتقاء نیافته بود. بر اساس اعلام مدیران شرکت، یک ماشین مجازی که خارج از فرآیندهای بهروزرسانی استاندارد باقی مانده بود، نقطه ورود مهاجمان را فراهم کرده است.
شرکت SmarterTools اعلام کرده این نفوذ بر وبسایت رسمی، سیستم سبد خرید، پورتال My Account و دادههای حساب کاربران تأثیری نداشته است. با این حال، حدود ۱۲ سرور ویندوزی در شبکه اداری و یک دیتاسنتر ثانویه مورد استفاده برای تستهای کنترل کیفیت تحت تأثیر قرار گرفتهاند. همچنین گزارش شده که برخی مشتریان میزبانیشده SmarterTrack بیشترین آسیب را متحمل شدهاند.
بر اساس اطلاعات منتشرشده، مهاجمان پس از دسترسی اولیه چند روز در شبکه باقی مانده و سپس با در اختیار گرفتن سرور Active Directory، ایجاد حسابهای کاربری جدید و استقرار ابزارهایی مانند Velociraptor و ماژول رمزگذاری، اقدام به اجرای مرحله باجافزار کردهاند.
اگرچه هنوز بهطور قطعی مشخص نشده کدام آسیبپذیری مورد سوءاستفاده قرار گرفته، اما چند نقص امنیتی از جمله CVE-2026-23760 (دور زدن احراز هویت) و CVE-2026-24423 (اجرای کد از راه دور بدون احراز هویت) بهعنوان گزینههای محتمل مطرح شدهاند. این آسیبپذیریها در نسخه Build 9511 برطرف شدهاند و نهادهای امنیتی پیشتر نسبت به بهرهبرداری فعال از آنها هشدار داده بودند.
بررسیهای امنیتی نشان میدهد یکی از روشهای احتمالی حمله، سوءاستفاده از قابلیت بازنشانی رمز عبور مدیریتی از طریق API و ترکیب آن با قابلیت Volume Mount برای دستیابی به کنترل کامل سیستم بوده است. تحلیلگران معتقدند انتخاب این مسیر میتوانسته به مهاجمان کمک کند فعالیت خود را شبیه فرآیندهای عادی مدیریتی جلوه دهند و احتمال شناسایی را کاهش دهند.
همزمان گزارشهایی از تلاشهای گسترده برای بهرهبرداری از این آسیبپذیریها منتشر شده که شامل صدها تلاش از سوی دهها آدرس IP مختلف بوده است.
در پی این رخداد، به کاربران SmarterMail توصیه شده است فوراً به نسخه Build 9526 ارتقاء دهند، سرورهای ایمیل را ایزوله کنند، فعالیتهای مرتبط با بازنشانی رمز عبور و Volume Mount را بررسی کرده و نشانههای حرکت جانبی در شبکه را پایش کنند.
این حادثه بار دیگر اهمیت مدیریت وصلههای امنیتی و نظارت مداوم بر داراییهای فناوری اطلاعات را برجسته میکند؛ بهویژه در سامانههای حیاتی مانند سرورهای ایمیل که بهطور مستقیم در معرض اینترنت قرار دارند.
