SmarterTools bevestigde vorige week dat de Warlock-ransomwarebende (ook bekend als Storm-2603) zijn netwerk heeft geschonden door misbruik te maken van een niet-gepatchte SmarterMail-instantie.
Het incident vond plaats op 29 januari 2026, toen een mailserver die niet was bijgewerkt naar de nieuwste versie, werd gecompromitteerd, aldus de Chief Commercial Officer van het bedrijf, Derek Curtis.
“Voorafgaand aan de inbreuk hadden we ongeveer 30 servers/VM’s met SmarterMail geïnstalleerd in ons hele netwerk”, legt Curtis uit. “Helaas waren wij niet op de hoogte van één VM, opgezet door een medewerker, die niet werd geüpdatet. Daardoor kwam die mailserver in gevaar, wat tot de inbreuk leidde.”
SmarterTools benadrukte echter dat de inbreuk geen gevolgen had voor de website, het winkelwagentje, het Mijn Account-portaal en verschillende andere diensten, en dat er geen bedrijfsapplicaties of accountgegevens werden getroffen of gecompromitteerd.
Er is bevestigd dat ongeveer twaalf Windows-servers op het kantoornetwerk van het bedrijf getroffen zijn, evenals een secundair datacenter dat wordt gebruikt voor kwaliteitscontroletests (QC). Volgens de CEO, Tim Uzzanti, had de “poging tot een ransomware-aanval” ook gevolgen voor gehoste klanten die SmarterTrack gebruikten.
“Gehoste klanten die SmarterTrack gebruiken, werden het meest getroffen”, zei Uzzanti in een andere Community Portal-dreiging. “Dit was niet te wijten aan een probleem binnen SmarterTrack zelf, maar eerder omdat die omgeving gemakkelijker toegankelijk was dan andere zodra ze ons netwerk hadden gehackt.”
Bovendien erkende SmarterTools dat de Warlock-groep een paar dagen wachtte na het verkrijgen van initiële toegang om de controle over de Active Directory-server over te nemen en nieuwe gebruikers aan te maken, gevolgd door het laten vallen van extra payloads zoals Velociraptor en de locker om bestanden te coderen.
“Zodra deze kwaadwillenden toegang krijgen, installeren ze doorgaans bestanden en wachten ze ongeveer zes tot zeven dagen voordat ze verdere actie ondernemen”, aldus Curtis. “Dit verklaart waarom sommige klanten zelfs na de update met een inbreuk te maken kregen: de eerste inbreuk vond plaats vóór de update, maar kwaadwillige activiteit werd later geactiveerd.”
Het is momenteel niet duidelijk welke SmarterMail-kwetsbaarheid door aanvallers is misbruikt, maar het is vermeldenswaard dat meerdere fouten in de e-mailsoftware – CVE-2025-52691 (CVSS-score: 10,0), CVE-2026-23760 en CVE-2026-24423 (CVSS-scores: 9,3) – actief in het wild zijn uitgebuit.
CVE-2026-23760 is een authenticatie-bypass-fout waarmee elke gebruiker het SmarterMail-systeembeheerderswachtwoord opnieuw kan instellen door een speciaal vervaardigd HTTP-verzoek te verzenden. CVE-2026-24423 maakt daarentegen gebruik van een zwakte in de ConnectToHub API-methode om niet-geverifieerde uitvoering van externe code (RCE) te bereiken.
De kwetsbaarheden zijn verholpen door SmarterTools in build 9511. Vorige week bevestigde de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) dat CVE-2026-24423 werd uitgebuit bij ransomware-aanvallen.
In een maandag gepubliceerd rapport zei cyberbeveiligingsbedrijf ReliaQuest dat het activiteiten heeft geïdentificeerd die waarschijnlijk verband houden met Warlock en die betrekking hebben op misbruik van CVE-2026-23760 om authenticatie te omzeilen en de ransomware-lading op internetgerichte systemen te verspreiden. De aanval maakt ook gebruik van de initiële toegang om een kwaadaardig MSI-installatieprogramma (“v4.msi”) te downloaden van Supabase, een legitiem cloudgebaseerd backend-platform, om Velociraptor te installeren.
“Hoewel deze kwetsbaarheid aanvallers in staat stelt authenticatie te omzeilen en beheerderswachtwoorden opnieuw in te stellen, koppelt Storm-2603 deze toegang aan de ingebouwde ‘Volume Mount’-functie van de software om volledige systeemcontrole te krijgen”, aldus beveiligingsonderzoeker Alexa Feminella. “Bij binnenkomst installeert de groep Velociraptor, een legitieme digitale forensische tool die ze in eerdere campagnes heeft gebruikt, om de toegang te behouden en de weg vrij te maken voor ransomware.”
De beveiligingsorganisatie merkte ook op dat de twee kwetsbaarheden hetzelfde netto resultaat hebben: terwijl CVE-2026-23760 niet-geverifieerde beheerderstoegang verleent via de API voor het opnieuw instellen van het wachtwoord, die vervolgens kan worden gecombineerd met de montagelogica om code-uitvoering te bereiken, biedt CVE-2026-24423 een directer pad naar code-uitvoering via een API-pad.
Het feit dat de aanvallers de eerstgenoemde methode volgen, is een indicatie dat de kwaadaardige activiteit waarschijnlijk opgaat in de typische administratieve workflows, waardoor ze detectie kunnen vermijden.
“Door misbruik te maken van legitieme functies (wachtwoordreset en schijfmontage) in plaats van uitsluitend te vertrouwen op een enkele ‘luidruchtige’ primitieve exploit, kunnen operators de effectiviteit verminderen van detecties die specifiek zijn afgestemd op bekende RCE-patronen,” voegde Feminella eraan toe. “Dit tempo van bewapening komt overeen met het feit dat ransomware-operators snel oplossingen van leveranciers analyseren en kort na de release werkende vaardigheden ontwikkelen.”
Toen ReliaQuest werd benaderd voor commentaar over de Warlock-ransomware-activiteit gericht op SmarterTools, vertelde hij aan The Hacker News dat het zag dat de aanvallers CVE-2026-23760 misbruikten op niet-gepatchte systemen met versies vóór Build 9511, kort nadat de patch was uitgebracht.
“We hebben bevestigd dat deze specifieke kwetsbaarheid is gebruikt omdat we succesvolle verzoeken voor het opnieuw instellen van het wachtwoord hebben waargenomen met specifieke invoer die is ontworpen om het ingebouwde systeembeheerdersaccount over te nemen”, aldus het bedrijf in een verklaring per e-mail. “We zagen in dezelfde periode ook API-aanroepen die consistent waren met het zoeken naar de tweede kwetsbaarheid, CVE-2026-24423. De succesvolle activiteit voor het opnieuw instellen van het wachtwoord bevestigt echter dat CVE-2026-23760 de methode was die werd gebruikt om initiële toegang te verkrijgen.”
Gebruikers van SmarterMail wordt geadviseerd om met onmiddellijke ingang te upgraden naar de nieuwste versie (Build 9526) voor optimale bescherming, en mailservers te isoleren om laterale verplaatsingspogingen te blokkeren die worden gebruikt om ransomware te implementeren.
(Het verhaal is na publicatie bijgewerkt met een reactie van ReliaQuest.)
