Tin tặc tích cực khai thác cặp đôi lỗ hổng nghiêm trọng trong SmarterMail
Mới đây, trong một bài viết được chia sẻ trên BleepingComputer - một trang web chuyên về tin tức trong lĩnh vực bảo mật & an ninh mạng, nhóm các nhà nghiên cứu bảo mật thuộc Flare Canada cho biết, sau quá trình theo dõi các hội nhóm Telegram ngầm và các diễn đàn tội phạm mạng, nhóm ghi nhận số lượng các cuộc tấn công nhắm tới hai lỗ hổng nghiêm trọng CVE-2026-24423 và CVE-2026-23760 đang gia tăng và lan rộng mạnh mẽ. Đáng chú ý, cặp lỗ hổng được gắn nhãn CRITICAL này đang là tâm điểm bàn luận của cộng đồng an ninh mạng toàn cầu trong những ngày vừa qua do cách thức khai thác dễ dàng, cũng như hệ quả mà nó để lại cho doanh nghiệp đang sử dụng sản phẩm SmarterMail là rất nghiêm trọng.
Thông tin chi tiết
Định danh lỗ hổng | CVE-2026-24423 | CVE-2026-23760 |
|---|---|---|
Điểm CVSS (3.1) | 9.8 | 9.8 |
Mức độ nghiêm trọng | CRITICAL - Cực kỳ nghiêm trọng | CRITICAL - Cực kỳ nghiêm trọng |
Phân loại lỗ hổng | Remote Code Execution (RCE) | Authentication Bypass |
Mô tả tóm tắt | Lỗ hổng tồn tại trong API | Lỗ hổng tồn tại trong API khôi phục mật khẩu của sản phẩm SmarterTools SmarterMail trước bản build 9511. Cụ thể, endpoint |
Phiên bản bị ảnh hưởng | SmarterTools SmarterMail trước bản build 9511 | |
Khuyến nghị cập nhật | Cập nhật lên phiên bản SmarterTools SmarterMail build 9511 hoặc các bản build mới hơn |
SmarterMail là một mail server (máy chủ email) dành cho doanh nghiệp và nhà cung cấp hosting, cho phép các tổ chức tự vận hành hệ thống email thay vì sử dụng các dịch vụ cloud hiện có như Microsoft 365 hay Google Workspace. Dịch vụ này được phơi bày trực diện ra internet, đồng thời thường nhận được vị trí tin cậy cao trong môi trường doanh nghiệp và ít được giám sát nghiêm ngặt như các hệ thống đầu cuối khác được bảo vệ bởi EDR, do đó đây luôn là mục tiêu lý tưởng trong rất nhiều cuộc tấn công khai thác từ tin tặc bởi nếu bị khai thác thành công sẽ dẫn tới các nguy cơ như bị lộ lọt toàn bộ dữ liệu nhạy cảm nội bộ hoặc trở thành bàn đạp để triển khai ransomware lên hệ thống.
![](https://cdn.hashnode.com/uploads/covers/669e7a2f2c109ecd663148bd/66c14b8f-6eff-4c73-97a7-546d97650f33.png align="middle")
Sự xuất hiện của CVE-2026-24423 và CVE-2026-23760 vừa qua đã minh chứng cho luận điểm trên. Chỉ trong thời gian ngắn, trên các diễn đàn dành cho giới tội phạm mạng và các hội nhóm kín trên Telegram, hàng loạt các bài viết thảo luận về cặp lỗ hổng này liên tục xuất hiện, các bài chia sẻ PoC hoặc chia sẻ mã khai thác lỗ hổng được lan truyền một cách rộng rãi. Cơ quan An ninh mạng và Cơ sở hạ tầng của Chính phủ Hoa Kỳ (CISA) đã đưa CVE-2026-24423 vào danh mục Known Exploited Vulnerabilities (KEV) sau khi xác nhận lỗ hổng này đang bị khai thác tích cực trong các chiến dịch phát tán ransomware, đồng thời cho biết các cuộc tấn công khai thác nhắm tới máy chủ sử dụng SmarterMail gia tăng đột biến, bất kể là số lượng máy chủ hay phạm vi khai thác mà các cuộc tấn công nhắm tới.
![](https://cdn.hashnode.com/uploads/covers/669e7a2f2c109ecd663148bd/24f4d9d4-6eca-4d3c-96d6-0bc5d6c1c22e.png align="middle")
Theo thống kê từ Shodan, có tới hơn 34.000 máy chủ đang sử dụng SmarterMail trên toàn thế giới, hơn 6.000 máy chủ có khả năng trở thành mục tiêu bị khai thác. Đáng chú ý, gần 1.200 máy chủ trong số này vẫn tồn tại lỗ hổng cho phép tin tặc khai thác vượt qua lớp xác thực (Authentication Bypass) và thực thi mã từ xa (RCE), cho thấy việc cập nhật bản vá vẫn chưa được triển khai tại nhiều nơi.
![](https://cdn.hashnode.com/uploads/covers/669e7a2f2c109ecd663148bd/10190afb-39cc-42a6-912f-7238e51b6826.png align="middle")
Việc các máy chủ này thường xuyên bị nhắm tới bởi chúng nằm ở "giao điểm" đặc biệt. Những máy chủ này thường được dễ dàng đạt được mức độ tin cậy cao cũng như khả năng tiếp cận rộng rãi trong hệ thống doanh nghiệp, cung cấp các dịch vụ và quyền thiết yếu như:
Token xác thực trong miền (Domain Authentication Tokens)
Khả năng đặt lại mật khẩu
Kênh liên lạc ra bên ngoài
Quyền truy cập vào sơ đồ liên hệ nội bộ (Internal Contact Graphs)
Tích hợp với các dịch vụ định danh và phân mục (Identity & Directory Services)
Kẻ tấn công hiểu rằng hệ sinh thái này phụ thuộc rất lớn vào chuỗi xác thực nhiều thành phần, do đó chỉ một mắt xích yếu cũng có thể làm sụp đổ toàn bộ niềm tin của hệ thống. Một khi hạ tầng bị xâm nhập, điều đó đồng nghĩa với việc hệ thống định danh (Identity Infrastructure) cũng bị chiếm quyền kiểm soát.
Khuyến nghị & Khắc phục
Nhiều tổ chức vẫn xem máy chủ email chỉ là “hạ tầng ứng dụng thông thường”. Thực tế, điều này không chính xác. Máy chủ email là hạ tầng định danh, đóng vai trò là bàn đạp, cho phép nhiều vector tấn công tiếp theo và lưu trữ các dữ liệu nhạy cảm cũng như logic nghiệp vụ quan trọng. Do đó, việc cấp thiết cần làm là gia cố khả năng phòng thủ trên các máy chủ này cần được đặt lên hàng đầu. Kết hợp lời khuyên từ các chuyên gia tại Flare, đội ngũ FPT Threat Intelligence khuyến nghị người dùng và các quản trị viên cần:
Cập nhật bản vá: Triển khai, cập nhật bản vá mới nhất cho SmarterTools SmarterMail lên bản build số 9511 hoặc các bản build mới hơn. Điều này giảm thiểu tối đa nguy cơ bị tin tặc khai thác cũng như các nguy cơ gây mất an toàn bảo mật khác có thể xảy ra.
Giới hạn quyền truy cập hệ thống email: Vô hiệu hoá quyền truy cập toàn mạng nội bộ đối với máy chủ email. Việc phân chia hệ thống vào từng phân vùng mạng riêng biệt giúp giảm thiểu thiệt hại về tấn công di chuyển ngang (Lateral Movement) nếu xảy ra xâm nhập.
Giám sát các dấu hiệu bất thường: Kết hợp với giám sát bảo mật 24/7, phát hiện và ngăn chặn sớm các hành vi bất thường trong hệ thống như: đặt lại mật khẩu quản trị, đăng nhập từ địa chỉ IP lạ, lưu lượng truy cập bất thường từ máy chủ email ra bên ngoài,... nhằm đưa ra các biện pháp xử lý cũng như hoạch định các kịch bản ứng phó nếu sự cố xảy ra.
