Ingeniería inversa al servicio de los ciberdelincuentes: cómo un simple parche de seguridad les dio vía libre
¿Lograrán los administradores cerrar la brecha antes de que todos sean hackeados? Crónica de la crisis en SmarterTools.
Una vulnerabilidad en el software de correo SmarterMail, corregida por la actualización del 15 de enero, comenzó a ser explotada activamente por ciberdelincuentes apenas dos días después de la publicación de las correcciones. Esto fue informado por los especialistas del equipo watchTowr Labs, que previamente notificaron a los desarrolladores sobre el problema.
La vulnerabilidad se registra con el identificador interno WT-2026-0001. Está relacionada con la falta de una verificación adecuada al acceder a la API en la ruta «/api/v1/auth/force-reset-password». Un atacante puede aprovecharla para restablecer la contraseña del administrador, enviando una solicitud HTTP especialmente formada. Basta con que en la solicitud el campo «IsSysAdmin» esté establecido en «true» —entonces se ejecuta la lógica que permite asignar una nueva contraseña a la cuenta de administrador usando solo el nombre de usuario.
De este modo el atacante puede obtener acceso privilegiado si conoce el nombre del administrador. Sin embargo, las posibilidades no terminan ahí. Con ese acceso es posible usar la funcionalidad integrada y ejecutar comandos arbitrarios a nivel del sistema operativo. Para ello basta crear un nuevo volumen en la configuración e introducir el comando en el campo destinado al montaje. De este modo se puede obtener acceso a la consola del sistema con privilegios de SYSTEM.
La información sobre la explotación activa apareció después de que un usuario en el foro de SmarterTools comunicara la pérdida de acceso a la cuenta de administrador. Según los registros, el 17 de enero se realizó un restablecimiento de contraseña a través de la API vulnerable —apenas dos días después de la publicación de la actualización. Esto indica que los atacantes pudieron estudiar los cambios en el código y reconstruir la naturaleza de la vulnerabilidad corregida.
También llama la atención el hecho de que en la descripción de la versión 9511, que corrige el problema, no hubo concreción. La mención se limitó a la frase «importantes correcciones críticas de seguridad». Según el director de SmarterTools, Timofey Uzzanti, esta práctica se adopta para no facilitar la tarea a los atacantes. Añadió que la empresa planea implementar un envío adicional por correo electrónico al detectar nuevas vulnerabilidades y al publicar las correcciones correspondientes.
No está claro si ese envío se realizó en esta ocasión. Al momento de la publicación, los representantes de SmarterTools no habían hecho comentarios al respecto. Recordemos que hace menos de un mes en SmarterMail se detectó ya una vulnerabilidad de nivel máximo de criticidad (CVE-2025-52691), que también permitía la ejecución remota de código.