في عالم التكنولوجيا المتسارع، تعرضت شركة SmarterTools للاختراق نتيجة ثغرات في منتجها SmarterMail. في هذا المقال، نستعرض تفاصيل الحادث وتأثيراته.
أعلنت شركة SmarterTools مؤخرًا عن تعرضها للاختراق نتيجة لثغرات تم معالجتها الشهر الماضي. تم اختراق منتج الشركة البرمجية بواسطة مجموعة Warlock، وهي مجموعة فدية ظهرت لأول مرة العام الماضي.
تعتبر CVE-2026-24423 ثغرة تنفيذ كود عن بُعد غير مصادق عليها في طريقة ConnectToHub الخاصة بخادم البريد SmarterMail. تتيح هذه الثغرة للمهاجم توجيه حالة SmarterMail إلى خادم HTTP ضار يديره المهاجم؛ حيث يمكن لهذا الخادم بعد ذلك تسليم أوامر ضارة. تم الكشف عنها جنبًا إلى جنب مع CVE-2026-23760، وهي ثغرة تجاوز المصادقة التي يمكن أن تمكن مهاجمًا غير مصادق عليه من إجبار إعادة تعيين كلمة المرور على حساب مسؤول النظام. وهذا يمكّن من اختراق كامل لحالة SmarterMail.
تمتلك كلا الثغرتين درجات شدة CVSS حرجة تبلغ 9.3، وتمت معالجتهما في إصدار SmarterMail 9511 في 15 يناير.
تم استخدام هذه الثغرات لاختراق SmarterTools، التي تبيع SmarterMail. نشر ديريك كيرتس، المدير التنفيذي للعمليات في SmarterTools، منشورًا في مدونة الأسبوع الماضي يوضح كيف عانت الشركة واستجابت للاختراق، الذي حدث في 29 يناير.
وفقًا للتنفيذي، كان لدى SmarterTools 30 خادمًا وآلة افتراضية مثبت عليها SmarterMail في جميع أنحاء شبكتها، لكنها لم تكن على علم بوجود واحد لم يتم تحديثه. كان هذا الخادم الضعيف هو الذي أدى إلى الاختراق.
تأثر بعض عملاء SmarterMail أيضًا نتيجة للهجوم. قالت الشركة إن جميع العملاء يجب عليهم التحديث إلى إصدار مصحح من برنامجها على الفور واستخدام مؤشرات الاختراق (المتضمنة في المدونة) للتحقق من علامات حدوث اختراق محتمل.
عواقب اختراق SmarterTools
شرح كيرتس أن الشركة تعزل شبكاتها في حالة حدوث اختراق، ونتيجة لذلك، ظلت العديد من الخدمات متاحة أثناء استجابة الحادث. لم تتأثر أي تطبيقات أعمال أو بيانات حسابات، كما كتب.
كان الشبكة المكتبية لـ SmarterTools هي التي تعرضت للاختراق، بالإضافة إلى مركز بيانات يستخدم لأعمال المختبرات ومراقبة الجودة. “في مركز البيانات، استضفنا بوابتنا بالإضافة إلى شبكة SmarterTrack المستضافة لدينا، والتي كانت متصلة عبر Active Directory،” قال كيرتس. “لم نرَ الكثير من التأثير هناك، وبدافع من الحذر، قمنا باستعادة بعض هذه الخوادم من النسخة الاحتياطية الأحدث، والتي كانت قديمة بست ساعات.”
بدت اثنا عشر خادمًا يعمل بنظام Windows على شبكتها “مخترقة”، وعلى هذه الخوادم، قامت برامج مكافحة الفيروسات بحظر معظم الجهود. لم تتأثر أي من خوادم Linux الخاصة بالشركة، والتي تشكل غالبية خوادمها.
كجزء من جهود استجابة الحادث، أوقفت SmarterTools جميع الخوادم في كلا الموقعين وأوقفت جميع الوصول إلى الإنترنت، في انتظار التقييم. أعادت الشركة هيكلة شبكاتها، متجنبة استخدام Windows حيثما كان ذلك ممكنًا، ولم تعد تستخدم Active Directories. كما أعادت تعيين جميع كلمات مرور الشبكة. أشادت SmarterTools بـ Sentinel One لدورها في عملية الاستجابة، بما في ذلك في اكتشاف الثغرات ومنع التشفير، وهو ما يشير إلى احتمال أن يكون الفدية قد شاركت.
“حتى الآن، لا توجد مشكلات أمان معروفة كبيرة مع SmarterMail،” كتب كيرتس. “بالإضافة إلى ذلك، نحن نبذل جهدًا منسقًا لتحسين الشفافية في كيفية تواصلنا بشأن تحديثات الأمان. هذه الحالة غير مسبوقة في تاريخ شركتنا، ونتعلم الكثير منها – بمساعدة عملائنا. بينما لا نتوقع حدوث تكرار، سنقترب من أي حادث مستقبلي بشكل أكثر استباقية وفعالية مما فعلنا.”
سألت Dark Reading SmarterTools عن بعض الدروس المستفادة من الاختراق، لكن الشركة لم ترد في وقت النشر.
المهاجمون يستهدفون عملاء SmarterMail
عملاء SmarterMail هم من الشركات الصغيرة والمتوسطة والمؤسسات التي تعتمد على خادمها كبديل لـ Microsoft Exchange. بينما كانت عمليات نشر Microsoft Exchange التقليدية على الموقع قد تعرضت لنصيبها من الثغرات السيئة، فإن CVE-2026-24423 وCVE-2026-23760 تمتد إلى ما هو أبعد من SmarterTools وحدها.
قال كيرتس إن مجموعة Warlock، وهي مجموعة فدية مقرها الصين، قد اخترقت الشركة، وقد لوحظت “نشاطات مشابهة على آلات العملاء.” بمجرد أن يحصل المهاجم على الوصول، يقوم بتثبيت الملفات وينتظر لمدة تصل إلى أسبوع قبل اتخاذ مزيد من الإجراءات.
كما قال، تعرض بعض العملاء للاختراق على الرغم من التحديث لأن الاختراق الأول حدث قبل أن تشير الأدلة المرئية إلى ذلك. “غالبًا ما يحاولون السيطرة على خادم Active Directory وإنشاء مستخدمين جدد. من هناك، يقومون بتوزيع الملفات عبر أجهزة Windows ويحاولون تنفيذ الملفات التي تشفر البيانات،” قرأت المدونة. يُعتقد أن مجموعة Warlock تستهدف بشكل أساسي بيئات Windows.
ليس من الشائع أن يتم اختراق بائع تكنولوجيا من خلال ثغرة في منتجه الخاص، ولكن كما تظهر SmarterTools، فإن ذلك ممكن. يجب على المنظمات أن تأخذ في الاعتبار إجراء جرد منتظم لنشر SmarterMail الخاص بها، بالإضافة إلى اتباع تدابير تعزيز الأمان مثل تقسيم الشبكات.
تعتبر تجربة SmarterTools درسًا مهمًا حول أهمية الأمان السيبراني. يجب على الشركات أن تكون يقظة وأن تتخذ خطوات استباقية لحماية بياناتها وبيانات عملائها.
