Lebih dari 6.000 Server SmarterMail Terbuka dan Rentan Dibajak Secara Otomatis
Organisasi keamanan nirlaba Shadowserver mengungkap bahwa lebih dari 6.000 server SmarterMail saat ini terekspos ke internet dan kemungkinan besar rentan terhadap serangan pembajakan otomatis yang mengeksploitasi celah keamanan kritis.
Kerentanan ini memungkinkan penyerang tanpa autentikasi untuk mengambil alih akun administrator dan bahkan mendapatkan remote code execution (RCE) di server target.
Detail Kerentanan CVE-2026-23760
Celah keamanan tersebut kini dilacak sebagai CVE-2026-23760 dan berdampak pada SmarterMail versi sebelum build 9511, yang dikembangkan oleh SmarterTools.
Menurut deskripsi resmi di basis data kerentanan nasional, masalah ini berada pada API reset password, di mana endpoint force-reset-password:
- Mengizinkan permintaan anonim
- Tidak memverifikasi password lama atau token reset
- Memungkinkan penyerang mengganti password admin hanya dengan mengetahui username administrator
Dampaknya sangat serius karena memberikan kendali penuh atas instance SmarterMail yang rentan.
Eksploitasi Aktif di Dunia Nyata
Peneliti dari perusahaan keamanan siber watchTowr melaporkan bahwa eksploitasi aktif telah terdeteksi sejak 21 Januari 2026, dan sehari kemudian dikonfirmasi oleh Huntress sebagai serangan massal otomatis.
Temuan Shadowserver menunjukkan:
- 6.000 server SmarterMail masih “likely vulnerable”
- ±4.200 berada di Amerika Utara
- Hampir 1.000 berada di Asia
Peneliti lain bahkan melaporkan angka lebih tinggi, dengan lebih dari 8.500 instance yang belum ditambal.
Tindakan dari CISA
Karena tingkat keparahannya, CISA telah memasukkan CVE-2026-23760 ke dalam daftar Known Exploited Vulnerabilities (KEV).
CISA memerintahkan seluruh lembaga pemerintah AS untuk:
- Menerapkan patch atau mitigasi yang tersedia
- Atau menghentikan penggunaan produk
- Sebelum 16 Februari 2026
Peringatan ini menegaskan bahwa celah seperti ini adalah vektor serangan favorit bagi aktor ancaman.
Apa yang Harus Dilakukan Administrator?
Jika kamu mengelola server SmarterMail, langkah yang sangat disarankan:
- Segera update ke SmarterMail build 9511 atau lebih baru
- Batasi akses panel admin dari internet publik
- Pantau log untuk aktivitas reset password mencurigakan
- Anggap sistem sudah terkompromi jika ada indikasi eksploitasi, lalu:
- Reset seluruh kredensial
- Audit konfigurasi
- Restore dari backup bersih jika perlu
Penutup
Kasus ini kembali menegaskan bahwa server email yang terekspos ke internet tanpa patch terbaru adalah target empuk bagi serangan otomatis. Dengan ribuan server masih rentan dan eksploitasi sudah berlangsung aktif, respons cepat dari administrator menjadi krusial untuk mencegah pengambilalihan sistem dan kebocoran data.
