حمله باج‌افزاری به زیرساخت SmarterTools

حمله باج‌افزاری به زیرساخت SmarterTools
نقص احراز هویت در SmarterMail منجر به نفوذ باج‌افزاری شد، اما داده‌های حساب کاربران و اپلیکیشن‌های تجاری SmarterTools آسیب ندیدند.

شرکت آمریکایی SmarterTools تأیید کرد که به‌دلیل وصله‌نشدن یک ماشین مجازی، هدف حمله باج‌افزار Warlock قرار گرفته است. مهاجمان با سوءاستفاده از آسیب‌پذیری CVE-2026-23760 در SmarterMail (پیش از Build 9518) توانستند رمز عبور مدیر را بازنشانی کرده و دسترسی کامل به سرور به‌دست آورند. شبکه اداری و یک دیتاسنتر تحت تأثیر قرار گرفتند، اما داده‌های حساب مشتریان و اپلیکیشن‌های تجاری ایمن باقی ماندند. شرکت اعلام کرد تمامی وصله‌ها اعمال شده و وابستگی به Windows و Active Directory حذف شده است.

شرکت نرم‌افزاری آمریکایی SmarterTools اعلام کرد که اخیراً هدف یک حمله باج‌افزاری قرار گرفته است؛ حمله‌ای که از طریق بهره‌برداری از یک آسیب‌پذیری احراز هویت در محصول ایمیل این شرکت انجام شده، اما بنا بر اعلام رسمی، اپلیکیشن‌های تجاری و داده‌های حساب مشتریان تحت تأثیر قرار نگرفته‌اند.

این رخداد در تاریخ ۱۰ فوریه ۲۰۲۶ به‌صورت عمومی منتشر شد. طبق اطلاعیه رسمی منتشرشده در وب‌سایت شرکت، مهاجمان موفق شدند با سوءاستفاده از یک ماشین مجازی وصله‌نشده وارد شبکه داخلی شوند.

منشأ نفوذ: یک ماشین مجازی به‌روزرسانی‌نشده

بر اساس توضیحات Derek Curtis، مدیر ارشد تجاری SmarterTools، پیش از وقوع رخداد امنیتی حدود ۳۰ سرور یا ماشین مجازی حاوی SmarterMail در شبکه این شرکت فعال بوده است. با این حال، یک VM که توسط یکی از کارکنان راه‌اندازی شده بود، از چرخه به‌روزرسانی خارج مانده و به‌روزرسانی‌های امنیتی روی آن اعمال نشده بود.

همین غفلت موجب شد مهاجمان بتوانند از طریق یک آسیب‌پذیری شناخته‌شده وارد آن سرور شوند و سپس نفوذ خود را گسترش دهند. این رویداد بار دیگر اهمیت مدیریت دارایی‌های IT (Asset Inventory) و نظارت بر تمامی نمونه‌های فعال در شبکه را برجسته می‌کند.

آسیب‌پذیری مورد سوءاستفاده: CVE-2026-23760

طبق گزارش رسانه تخصصی BleepingComputer، آسیب‌پذیری مورد بهره‌برداری CVE-2026-23760 بوده است. این نقص امنیتی در محصول SmarterMail پیش از Build 9518 وجود داشته و از نوع Authentication Bypass محسوب می‌شود.

این آسیب‌پذیری به مهاجم اجازه می‌دهد بدون نیاز به احراز هویت معتبر، رمز عبور مدیر سیستم را بازنشانی کرده و سطح دسترسی کامل (Full Administrative Privileges) به دست آورد. چنین سطحی از دسترسی، امکان اجرای کد، استقرار باج‌افزار، ایجاد حساب‌های مخفی و حرکت جانبی در شبکه (Lateral Movement) را فراهم می‌کند.

نقش باج‌افزار Warlock

بر اساس گزارش منتشرشده توسط CyberInsider، این رخداد به گروه باج‌افزاری Warlock ransomware gang نسبت داده شده است. این گروه پیش‌تر به هدف‌گیری زیرساخت‌های مبتنی بر فناوری‌های Microsoft شهرت داشته است.

در حمله اخیر، مهاجمان از یک رمزگذار مبتنی بر Windows برای رمزگذاری سرورها استفاده کردند، در حالی که زیرساخت اصلی SmarterTools عمدتاً بر پایه Linux بوده است. این تفاوت معماری موجب شد دامنه خسارت محدودتر از سناریوهای مشابه باشد.

دامنه تأثیر حمله

طبق اطلاعیه رسمی شرکت:

  • شبکه اداری (Office Network) تحت تأثیر قرار گرفته است.
  • یکی از دیتاسنترهایی که فعالیت‌های کنترل کیفیت در آن انجام می‌شد، آسیب دیده است.
  • با این حال، وب‌سایت شرکت، سبد خرید آنلاین، پرتال My Account و سایر سرویس‌های مشتریان آنلاین باقی مانده‌اند.
  • داده‌های حساب کاربران و اپلیکیشن‌های تجاری اصلی دچار نفوذ یا افشا نشده‌اند.

این وضعیت به دلیل معماری تفکیک‌شده شبکه (Network Segmentation) در SmarterTools ممکن شده است. شرکت اعلام کرده بود که شبکه‌ها در صورت وقوع نفوذ ایزوله می‌شوند تا از گسترش حمله جلوگیری شود.

تحلیل فنی تأثیر بر Windows و Linux

Curtis در ادامه توضیح داده است که SmarterTools اکنون عمدتاً یک شرکت مبتنی بر Linux است. در این رخداد:

  • حدود ۱۲ سرور Windows ظاهراً تحت تأثیر قرار گرفته‌اند.
  • اسکنرهای ضدویروس در بیشتر موارد تلاش برای رمزگذاری را مسدود کرده‌اند.
  • هیچ‌یک از سرورهای Linux آلوده نشده‌اند.

این موضوع نشان می‌دهد که ترکیب ابزارهای امنیتی Endpoint Protection و ساختار تفکیک سیستم‌عامل‌ها می‌تواند نقش تعیین‌کننده‌ای در کاهش خسارت داشته باشد.

حذف کامل Windows و Active Directory

در واکنش به این رخداد، SmarterTools اعلام کرده است که:

  • استفاده از Windows را تا حد امکان متوقف کرده است.
  • دیگر از خدمات Active Directory استفاده نمی‌کند.

طبق اعلام شرکت، مهاجمان از Active Directory برای حرکت جانبی در شبکه استفاده کرده بودند. حذف این وابستگی به‌عنوان یک اقدام پیشگیرانه برای کاهش سطح حمله آینده انجام شده است.

این تصمیم، گرچه از منظر امنیتی قابل درک است، اما برای بسیاری از سازمان‌ها عملیاتی و ساده نیست؛ چرا که Active Directory ستون اصلی مدیریت هویت در بسیاری از زیرساخت‌های سازمانی محسوب می‌شود.

نسخه‌های اصلاحی و توصیه به کاربران

کاربران SmarterTools که نگران احتمال آسیب‌پذیری هستند، باید فوراً نسخه SmarterMail خود را بررسی کنند.

  • Build 9518 که در ۱۵ ژانویه منتشر شده، این آسیب‌پذیری را برطرف می‌کند.
  • Build 9526 (منتشرشده در ۲۲ ژانویه) اصلاحات تکمیلی و بهبودهای امنیتی بیشتری ارائه داده است.

به‌روزرسانی فوری به نسخه‌های ایمن، مهم‌ترین اقدام دفاعی در برابر این تهدید محسوب می‌شود.

درس‌های امنیتی این رخداد

این حمله چند نکته کلیدی برای مدیران امنیت اطلاعات دارد:

۱. مدیریت دارایی‌های IT باید کامل و مستمر باشد.

۲. حتی یک ماشین مجازی خارج از چرخه Patch Management می‌تواند کل شبکه را در معرض خطر قرار دهد.

۳. آسیب‌پذیری‌های احراز هویت از خطرناک‌ترین انواع نقص‌های امنیتی هستند.

۴. تفکیک شبکه و ایزوله‌سازی سرویس‌های حیاتی می‌تواند خسارت را محدود کند.

۵. وابستگی بیش‌ازحد به سرویس‌های متمرکز هویت، در صورت نفوذ، مسیر حرکت جانبی را تسهیل می‌کند.

جمع‌بندی

توصیه اکید می‌شود کاربران، کلیه نسخه‌های پیش از Build 9518 در SmarterMail را در سریع‌ترین زمان ممکن بروزرسانی نمایند.

حمله باج‌افزاری علیه SmarterTools نشان داد که حتی سازمان‌های فناوری با زیرساخت پیشرفته نیز در صورت غفلت از یک سرور وصله‌نشده، در معرض تهدید جدی قرار می‌گیرند.

بهره‌برداری از CVE-2026-23760 در SmarterMail به مهاجمان امکان بازنشانی رمز مدیر و دستیابی به سطح دسترسی کامل را داد، اما به دلیل معماری تفکیک‌شده و اکثریت زیرساخت مبتنی بر Linux، دامنه خسارت محدود ماند.

این رخداد بار دیگر اهمیت Patch Management، نظارت مستمر بر ماشین‌های مجازی، به‌روزرسانی فوری نسخه‌ها و بازبینی معماری هویت سازمانی را در سطح راهبردی برجسته می‌کند.

25 بهمن 1404

بازدید