紧急预警!SmarterMail认证绕过漏洞在野肆虐 全球超3.9万资产面临服务器接管风险
一、漏洞概述
发布时间:2026年1月25日
漏洞级别:严重(CVSS:3.1 9.8/10.0)
漏洞类型:身份认证绕过 → 远程代码执行
在野利用状态:高度活跃(2026年1月20日起全球批量利用)
官方修复状态:已修复(2026年1月15日发布Build 9511补丁,同时修复此前CVE-2025-52691任意文件上传漏洞)
受影响资产规模:全球关联风险资产39923个、关联IP19564个
近日,安全研究机构watchTowr Labs披露SmarterMail邮件服务器存在严重身份认证绕过漏洞(跟踪编号:WT-2026-0001,奇安信编号:QVD-2026-4572,360编号:LDYVUL-2026-00011633),该漏洞无需复杂利用条件,仅需已知管理员用户名,攻击者即可构造特定HTTP请求直接重置系统管理员密码,进而接管服务器并以SYSTEM权限执行任意操作系统命令,实现完全的远程代码执行。
该漏洞的爆发凸显了当前网络黑产的高效利用能力:厂商于1月15日发布修复补丁,仅两天后攻击者便通过逆向工程分析补丁开发出利用工具,1月20日该漏洞正式进入在野活跃利用阶段,截至目前全球范围内已出现大规模的扫描和攻击行为。值得警惕的是,这是SmarterMail近期暴露的第二个高危漏洞,此前该产品已因CVE-2025-52691任意文件上传漏洞面临安全威胁,两次漏洞均指向其产品安全设计的底层缺陷。
SmarterMail作为SmarterTools开发的企业级邮件服务器解决方案,覆盖全球120个国家的1500万名用户,主要服务于托管服务提供商(MSP)、中小企业及邮件托管服务商,其作为企业核心通信基础设施,一旦被攻陷将直接导致企业敏感邮件数据泄露、业务通信中断,甚至被攻击者作为跳板横向渗透内部网络,引发勒索、数据窃取等连锁安全事件。
二、漏洞基本信息
| 项目 | 详情 |
|---|---|
| 漏洞名称 | SmarterMail管理员密码重置认证绕过漏洞 |
| 漏洞编号 | WT-2026-0001、QVD-2026-4572、LDYVUL-2026-00011633(暂未分配CVE编号) |
| 影响产品 | SmarterMail Windows版企业级邮件服务器 |
| 影响版本 | 所有低于Build 9511的版本(含17.x、18.x全系列) |
| CVSS评分 | 9.8/10.0(不同机构基于攻击链完整性评级略有差异) |
| 漏洞成因 | 密码重置API端点未做身份校验,盲目信任用户提交的IsSysAdmin参数;未验证OldPassword字段有效性,直接执行密码重置逻辑 |
| 利用条件 | 仅需知晓目标服务器管理员用户名;目标服务器暴露在公网,可访问API端点 |
| 攻击路径 | 未授权访问/api/v1/auth/force-reset-password → 重置管理员密码 → 登录后台执行系统命令/Volume Mounts提权 → 远程代码执行 |
| 公开状态 | POC/EXP均已全公开,黑产论坛已传播利用工具及批量扫描脚本 |
| 危害程度 | 服务器完全接管、邮件数据泄露、业务通信劫持、内部网络渗透、勒索软件植入、挖矿程序部署等 |
三、技术细节深度分析
该漏洞核心存在于SmarterMail的ForceResetPassword API接口(路径:/api/v1/auth/force-reset-password),该接口设计初衷为系统内的密码重置功能,但其安全校验机制的完全缺失,使其成为攻击者的“万能钥匙”,360漏洞研究院、奇安信威胁情报中心均已完成该漏洞的全流程复现,证实其利用门槛极低、攻击危害极强。
核心漏洞缺陷
- 未授权访问漏洞:该API端点未配置任何身份验证机制,公网可直接访问,无需用户登录凭证、会话令牌等任何验证信息,违反网络服务的最小权限访问原则。
- 盲目信任用户输入:后端业务逻辑直接采信请求中提交的IsSysAdmin布尔值参数,未通过服务端校验请求者的实际权限,攻击者只需将该参数设为true,即可触发系统管理员级别的密码重置逻辑。
- 关键字段校验缺失:接口设计中虽包含OldPassword字段,但后端未对该字段做任何有效性验证,即使提交空值或错误值,仍可成功完成密码重置,彻底绕过密码修改的核心安全校验。
漏洞利用实操步骤
攻击者仅需通过常规的HTTP请求工具(如curl、Postman、Burp Suite)构造JSON格式请求,即可完成管理员密码重置,无任何技术门槛:
POST /api/v1/auth/force-reset-password HTTP/1.1
Host: target-smartermail-server
Content-Type: application/json
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
{
"username": "admin", // 已知的管理员用户名,如admin/sysadmin/smadmin
"newPassword": "Attacker@123456", // 攻击者自定义密码
"isSysAdmin": true,
"oldPassword": "" // 空值/任意值均可通过校验
}
请求返回200 OK即表示密码重置成功,攻击者可使用新密码直接登录SmarterMail管理后台,利用系统内置的命令执行功能(设置→系统设置→高级设置→执行命令)执行任意操作系统命令;同时攻击者可通过Volume Mounts功能实现权限提权,进一步获得服务器的系统级Shell访问权限,实现对目标服务器的完全控制。
完整攻击链
本次漏洞的典型攻击链已形成标准化流程,黑产可通过自动化工具批量执行:
公网端口扫描探测(80/443/9998等SmarterMail常用端口)→资产指纹识别(确认版本低于Build 9511)→构造API请求重置管理员密码→登录管理后台执行系统命令→植入WebShell/创建隐藏管理员账户(实现持久化控制)→横向渗透/数据窃取/部署勒索/挖矿程序→清除攻击痕迹。
四、在野利用态势分析
截至2026年1月25日,该漏洞已形成全球范围的批量攻击态势,安全厂商通过威胁情报监测发现,黑产组织已完成从漏洞分析、工具开发到批量利用的全流程,其利用特征呈现工具化、规模化、定向化三大特点,成为近期企业邮件服务器的主要安全威胁。
利用时间线精准复盘
- 2026年1月8日:watchTowr Labs向SmarterTools厂商提交漏洞细节,提出修复建议;
- 2026年1月15日:厂商发布Build 9511版本补丁,同时修复该认证绕过漏洞及此前的CVE-2025-52691任意文件上传漏洞;
- 2026年1月17-19日:黑产组织逆向分析补丁,开发出POC验证工具及自动化EXP利用工具,并在黑产论坛传播;
- 2026年1月20日:全球首次发现该漏洞的在野利用,攻击者开始对全网SmarterMail资产进行批量扫描;
- 2026年1月22日:360、奇安信等国内安全厂商相继发布漏洞通告,同步更新检测规则;
- 2026年1月23日至今:攻击规模持续扩大,从批量扫描转向对MSP服务商、中小企业的定向攻击,已出现多起服务器被接管、数据泄露事件。
核心在野利用特征
- 攻击目标高度聚焦:主要针对暴露在公网的SmarterMail资产,重点攻击托管服务提供商(MSP)、中小企业、邮件托管服务商,这类目标往往防护能力较弱,且MSP服务商被攻陷后可辐射其下游大量企业客户;
- 利用工具全面普及:免费POC已在多个黑产论坛、技术社群公开传播,同时有黑产组织售卖定制化自动化利用工具,支持批量导入目标IP、自动扫描漏洞、一键重置密码,进一步降低利用门槛;
- 攻击来源地域明确:主要攻击IP来自俄罗斯、越南、土耳其及东欧部分地区,部分攻击流量可追溯至已知的勒索软件组织和挖矿团伙,攻击者具有较强的组织性和技术能力;
- 攻击后行为多样化:攻击者攻陷服务器后,除了传统的植入后门、部署挖矿程序外,还会导出企业全部邮件数据、篡改邮件转发规则、添加隐藏管理员账户,部分组织会向企业发送勒索信,以数据泄露为要挟索要赎金。
安全厂商检测支持情况
目前主流安全厂商已完成该漏洞攻击行为的检测规则开发,企业可通过现有安全设备实现攻击拦截和告警:
- 360:安全智能体默认支持攻击分析,Quake测绘云支持资产指纹识别,1月23日已发布漏洞检测规则更新包;
- 奇安信:鹰图资产测绘平台可快速排查受影响资产,态势感知、NGFW等产品已更新攻击拦截规则;
- 其他厂商:watchTowr Labs、The Hacker News等国际安全机构已发布漏洞检测脚本,可实现本地快速自检。
五、应急响应与修复建议
鉴于该漏洞利用门槛极低、在野攻击高度活跃,且POC/EXP已全公开,所有部署SmarterMail的企业需立即采取防护措施,优先完成版本升级,无法立即升级的企业需通过多重临时措施阻断攻击路径,同时开展全面的安全排查,确认是否已遭受攻击。
第一优先级:立即完成官方补丁升级(彻底修复)
- 升级版本:立即将SmarterMail升级至Build 9511或更高版本,该版本为厂商官方的漏洞修复版本,可彻底解决认证绕过问题;
- 官方下载:从SmarterTools官方渠道下载补丁,地址:https://www.smartertools.com/smartermail/downloads;
- 升级前备份:升级前务必完成全量数据备份,包括邮件数据、系统配置文件、注册表信息、数据库文件,避免升级过程中出现数据丢失;
- 升级后验证:升级完成后,通过curl命令或Postman工具测试/api/v1/auth/force-reset-password端点,确认请求被拒绝(返回403/401状态码);
- 密码重置:升级完成后,立即重置所有管理员账户密码,避免攻击者已通过漏洞获取密码权限。
第二优先级:临时缓解措施(无法立即升级时)
针对因业务原因无法立即升级的企业,需通过网络层、应用层双重拦截阻断漏洞攻击路径,同时强化账户安全,降低被攻击风险:
- Web服务器层面拦截API端点
- IIS图形化配置:打开IIS管理器,找到SmarterMail对应的站点,进入「请求筛选」→「规则」→「添加筛选规则」,设置规则拦截包含**/api/v1/auth/force-reset-password**的URL请求,动作为“拒绝”;
- IIS命令行配置:执行以下命令快速添加拦截规则,适用于批量部署的服务器:
appcmd set config "SmarterMail" /section:requestFiltering /+filterRules.[name='BlockSmarterMailVuln',scanUrl='true',scanQueryString='false',rejectReason='Vulnerability Block',ruleSequence='1',matchType='Pattern',pattern='/api/v1/auth/force-reset-password',ignoreCase='true',negate='false']
- 网络访问控制:通过防火墙、安全组限制SmarterMail管理端口(如80、443、9998)的公网访问,仅允许企业内部可信IP、管理员办公IP访问,切断外部攻击路径;
- 强化账户安全:对管理员账户开启登录IP限制,禁止陌生IP登录;同时设置复杂密码策略(16位以上,包含大小写字母、数字、特殊字符,无连续字符、无常见密码);
- 关闭不必要功能:临时关闭SmarterMail管理后台的系统命令执行功能、Volume Mounts功能,避免攻击者即使攻陷账户也无法执行系统命令。
第三优先级:全面的漏洞检测与入侵排查
企业需立即开展自查,确认自身资产是否存在漏洞,以及是否已遭受攻击,排查需覆盖漏洞验证、日志分析、入侵痕迹排查三个维度:
- 漏洞快速自检
- 工具自检:通过360Quake、奇安信鹰图等资产测绘平台,输入企业IP段,快速识别是否存在低于Build 9511的SmarterMail资产;
- 手动自检:通过curl命令测试目标服务器,若返回200状态码则表示存在漏洞,返回403/401则表示已修复/拦截:
curl -X POST -H "Content-Type: application/json" -d '{"username":"admin","newPassword":"test","isSysAdmin":true}' https://your-server/api/v1/auth/force-reset-password
- 日志分析排查攻击行为
- 检查SmarterMail默认日志目录(C:Program FilesSmarterToolsSmarterMailLogs)下的访问日志,筛选包含**/api/v1/auth/force-reset-password**的请求记录,重点关注陌生IP的请求;
- 检查管理员账户的登录日志,排查是否有非授权IP的登录记录、异常登录时间(如凌晨、节假日)的登录行为;
- 检查IIS访问日志,筛选包含IsSysAdmin=true的POST请求,这类请求为典型的漏洞利用行为。
- 入侵痕迹深度排查
若发现存在漏洞利用行为,需立即开展服务器入侵痕迹排查,确认攻击者是否已实现持久化控制,重点排查以下内容:- 账户排查:检查Windows系统是否存在未知的管理员账户、隐藏账户,排查SmarterMail是否被添加新的管理员用户;
- 文件排查:检查服务器Web根目录、SmarterMail安装目录是否存在未知的WebShell文件(如.aspx、.asp、.php)、挖矿程序、勒索软件;
- 进程排查:通过任务管理器、Process Explorer排查是否存在异常进程,尤其是无合法路径、无数字签名的进程;
- 配置排查:检查SmarterMail的邮件转发规则、自动回复规则是否被篡改,避免攻击者利用邮件系统发送钓鱼邮件;
- 网络排查:检查服务器的网络连接,排查是否存在异常的出站连接、反向代理连接,尤其是指向境外IP的连接;
- 计划任务/服务排查:检查Windows计划任务、系统服务,排查是否存在未知的定时任务、自启动服务,这类为攻击者实现持久化控制的常用手段。
六、前瞻性安全防护体系建设建议
本次SmarterMail漏洞的爆发,再次暴露了企业在核心基础设施安全、产品安全设计、应急响应能力方面的短板,尤其是邮件服务器作为企业核心通信设施,已成为网络攻击者的主要攻击入口。结合2026年全球网络攻击态势(AI武器化、漏洞利用周期缩短、黑产工具化),建议企业从技术防护、流程管理、厂商协同三个维度,构建邮件服务器的全维度安全防护体系,实现从“被动应急”到“主动防御”的转变。
企业侧:构建邮件服务器的分层安全防护体系
- 落实零信任安全架构:对邮件服务器实行“永不信任,始终验证”的零信任策略,取消传统的内网信任机制,所有访问均需经过身份认证、权限校验、行为分析,即使攻击者突破外网边界,也无法横向渗透;
- 最小权限原则部署:SmarterMail的运行服务账户避免使用Windows系统管理员权限,仅分配必要的文件读取、写入权限,限制攻击者通过漏洞获取权限后的操作范围;
- 强化多因素认证(MFA):为邮件服务器所有管理员账户启用强多因素认证,优先选择硬件令牌、UKey等离线认证方式,避免使用短信验证码(易被劫持),即使攻击者重置密码,也无法完成登录;
- 建立邮件安全全流程防护:结合2026年邮件攻击趋势,部署集漏洞防护、钓鱼检测、内容过滤、行为分析于一体的邮件安全网关,实现对漏洞攻击、钓鱼邮件、恶意附件的全维度拦截;
- 常态化漏洞扫描与应急演练:将邮件服务器纳入企业常态化漏洞扫描范围,每周开展一次全量漏洞扫描,每月开展一次漏洞应急响应演练,缩短漏洞发现和处置的时间;
- 资产可视化管理:通过资产测绘工具实现企业邮件服务器等核心基础设施的资产可视化,实时掌握资产版本、端口、配置情况,避免出现“僵尸资产”“未打补丁资产”。
厂商侧:完善产品安全设计与SDL全流程管理
本次漏洞的核心原因是产品安全设计的缺失,建议厂商从底层完善安全机制,避免类似漏洞再次出现:
- 强化API安全设计:所有API端点需配置统一的身份认证机制,禁止无授权的公网访问;对用户提交的所有参数进行服务端校验,拒绝盲目信任客户端输入;
- 完善权限校验逻辑:对密码重置、账户修改等高危操作,增加多因素验证、旧密码校验、操作日志审计等多重安全机制,避免单一校验机制被突破;
- 落实安全开发生命周期(SDL):将安全测试纳入产品研发的全流程,在需求分析、开发、测试、发布各阶段开展安全评审,通过代码审计、模糊测试、渗透测试等手段,提前发现并修复安全漏洞;
- 建立漏洞快速响应机制:针对高危漏洞,缩短补丁开发和发布周期,同时向用户推送强制升级通知,指导用户完成漏洞修复;
- 发布安全最佳实践:为用户提供SmarterMail的安全配置最佳实践,包括端口限制、账户安全、功能关闭、日志审计等,帮助用户降低配置层面的安全风险。
行业侧:建立核心基础设施漏洞协同响应机制
邮件服务器作为企业数字化运营的核心基础设施,其安全直接关系到行业和企业的数字安全,建议行业层面建立漏洞预警、信息共享、协同防御的安全机制:
- 建立漏洞快速预警体系:由网络安全主管部门、行业协会牵头,联合主流安全厂商,建立核心基础设施漏洞的快速预警机制,针对高危漏洞第一时间发布预警信息,指导企业开展防护;
- 实现威胁情报共享:推动企业、安全厂商、托管服务商之间的威胁情报共享,及时同步漏洞利用工具、攻击IP、攻击特征,实现对攻击行为的全网拦截;
- 开展行业安全专项检查:针对金融、教育、医疗、政企等重点行业,开展邮件服务器安全专项检查,重点排查未打补丁、公网暴露、弱密码等安全问题,督促企业完成整改;
- 强化供应链安全管理:企业在选择邮件服务器、办公系统等供应链产品时,将产品安全能力纳入选型指标,优先选择具有完善安全设计、快速漏洞响应能力的厂商产品,同时与厂商签订安全服务协议,明确漏洞修复的责任和时效。
特别警示:当前该漏洞的利用工具已实现自动化、批量化,黑产组织正通过全网扫描寻找未修复的目标,未采取防护措施的企业被攻击的概率接近100%。请所有部署SmarterMail的企业高度重视,立即完成补丁升级或临时防护配置,同时开展全面的安全排查,避免因漏洞被利用造成不可挽回的损失。
