# CVE-2026-23760 - SmarterMail Bypass de Autenticação via API de Reset de Senha > Bypass de autenticação critico no SmarterMail que permite a qualquer atacante remoto assumir o controle administrativo do servidor e executar comandos OS. CVSS 9.3. Explorado ativamente desde dois dias após o patch. CISA KEV. ## Resumo O **CVE-2026-23760** e uma vulnerabilidade critica de bypass de autenticação que afeta o servidor de e-mail [[smartermail|SmarterMail]] da SmarterTools. A falha reside no endpoint `/api/v1/auth/force-reset-password`, que permite requisicoes anonimas e deixa de verificar a senha existente ou um token de reset ao redefinir contas de administrador do sistema. Um atacante remoto nao autenticado pode fornecer um nome de usuario de administrador alvo e uma nova senha para tomar controle administrativo completo da instancia SmarterMail. A natureza da falha torna a exploração particularmente devastadora: após obter acesso administrativo, o atacante pode explorar funcionalidades nativas de gerenciamento do SmarterMail para executar comandos de sistema operacional, efetivamente obtendo acesso SYSTEM ou root no host subjacente. A vulnerabilidade afeta todas as versoes anteriores ao Build 9511 e foi explorada ativamente em campanhas ransomware. O CVE-2026-23760 foi divulgado públicamente em 22 de janeiro de 2026, com a watchTowr Labs tendo realizado divulgacao responsavel em 8 de janeiro. A CISA adicionou a falha ao catalogo KEV em 26 de janeiro de 2026, com prazo de remediacao até 16 de fevereiro para agencias federais. O Shadowserver identificou mais de **6.000 servidores SmarterMail vulneraveis** expostos na internet. Proof-of-concept exploits estao públicamente disponiveis no GitHub desde a divulgacao. ## Impacto Tecnico - Comprometimento administrativo completo da instancia SmarterMail sem autenticação - Execução de comandos de sistema operacional com privilegios SYSTEM/root via funcionalidades nativas de administracao - Acesso total a todos os dados de e-mail e contas de usuarios armazenados no servidor - Possibilidade de exfiltração em massa de correspondencias corporativas e credenciais - Plataforma para movimento lateral na rede organizacional - Implantação de ransomware e persistência via mecanismos de inicializacao - Encadeamento com [[cve-2026-24423|CVE-2026-24423]] para múltiplos vetores de comprometimento ## Produtos Afetados | Vendor | Produto | Versoes Vulneraveis | Versao Corrigida | |--------|---------|-------------------|------------------| | SmarterTools | SmarterMail | Todas as versoes anteriores ao Build 9511 (< 100.0.9511) | Build 9511 (15 jan 2026) | ## Patch e Mitigação **Patch oficial:** Atualizar imediatamente para o Build 9511 ou superior (recomendado Build 9518 para corrigir também o CVE-2026-25067). A atualização esta disponível na pagina de downloads da SmarterTools. **Mitigacoes temporarias:** - Restringir acesso externo ao endpoint `/api/v1/auth/force-reset-password` - Implementar autenticação multifator (MFA) para todos os acessos administrativos - Redefinir imediatamente todas as senhas administrativas após aplicar o patch - Isolar o servidor SmarterMail de redes nao confiadas através de segmentacao de rede e firewalls - Monitorar logs para tentativas de reset de senha nao autorizadas ## Exploração Ativa A exploração em campo foi confirmada apenas **dois dias após** a liberacao do patch (Build 9511 em 15 de janeiro de 2026), sugerindo que atores maliciosos realizaram engenharia reversa da atualização para identificar a vulnerabilidade. A Huntress confirmou exploração ativa e observou que o CVE-2025-52691 (CVSS 10.0) também estava sendo explorado em massa no mesmo período. O grupo ransomware [[warlock-ransomware|Warlock (Storm-2603)]] foi associado a exploração do CVE-2026-23760 para obter acesso inicial, com a ReliaQuest confirmando o uso desta vulnerabilidade para bypass de autenticação seguido de implantação de payload ransomware. IPs de ataque foram rastreados em infraestrutura virtual nos EUA. Pesquisadores da watchTowr Labs (Piotr Bazydlo e Sina Kheirkhah) e Markus Wulftange da CODE WHITE GmbH descobriram e reportaram a falha. Exploits PoC estao públicamente disponiveis no GitHub, incluindo templates Nuclei para varredura automatizada. ## CISA KEV - **Adicionado ao KEV:** 26 de janeiro de 2026 - **Prazo para agencias federais (FCEB):** 16 de fevereiro de 2026 - **Titulo no KEV:** SmarterMail Authentication Bypass Using an Alternate Path or Channel Vulnerability - **Acao exigida:** Aplicar mitigacoes conforme instrucoes do fabricante ou descontinuar o uso do produto ## Notas Relacionadas **CVEs relacionados:** - [[cve-2026-24423|CVE-2026-24423]] - SmarterMail RCE via ConnectToHub API (CVSS 9.3, KEV, mesmo patch) - [[cve-2026-25067|CVE-2026-25067]] - SmarterMail NTLM relay (CVSS 6.9, corrigido no Build 9518) - [[cve-2025-52691|CVE-2025-52691]] - SmarterMail RCE critica (CVSS 10.0, explorada em massa no mesmo período) **TTPs associadas:** - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] (após bypass administrativo) - [[t1059-command-and-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] **Setores impactados:** - [[government|Governo]] - servidores de e-mail on-premises - [[technology|Tecnologia]] - provedores de hospedagem de e-mail - [[financial|Financeiro]] - corporacoes com SmarterMail como Exchange alternativo **Atores:** - [[warlock-ransomware|Warlock Ransomware (Storm-2603)]] - exploração confirmada para acesso inicial ## Referências - [NVD - CVE-2026-23760](https://nvd.nist.gov/vuln/detail/CVE-2026-23760)