CISA Peringatkan Celah RCE SmarterMail Aktif Dieksploitasi dalam Serangan Ransomware

CISA mengeluarkan peringatan resmi terkait celah keamanan kritis pada SmarterMail yang kini Š°ŠŗŃŠøŠ²Š½Š¾ dieksploitasi oleh pelaku ransomware. Kerentanan dengan kode CVE-2026-24423 tersebut memungkinkan remote code execution (RCE) tanpa autentikasi, sehingga penyerang dapat mengambil alih sistem email yang rentan.
SmarterMail merupakan platform server email dan kolaborasi berbasis Windows yang dikembangkan oleh SmarterTools. Solusi ini banyak digunakan oleh managed service provider (MSP), perusahaan kecil hingga menengah, serta penyedia layanan hosting untuk menjalankan layanan email mandiri. Menurut SmarterTools, produk mereka digunakan oleh sekitar 15 juta pengguna di lebih dari 120 negara.
Celah CVE-2026-24423 berdampak pada SmarterMail versi sebelum build 9511. Eksploitasi berhasil memungkinkan eksekusi perintah jarak jauh melalui metode ConnectToHub API, tanpa memerlukan kredensial apa pun. Dalam skenario serangan, penyerang dapat mengarahkan instance SmarterMail ke server HTTP berbahaya yang kemudian mengirimkan perintah sistem operasi untuk dieksekusi di server korban.
Kerentanan ini pertama kali ditemukan dan dilaporkan secara bertanggung jawab kepada SmarterTools oleh peneliti keamanan dari watchTowr, CODE WHITE, dan VulnCheck. Pihak vendor telah merilis perbaikan pada 15 Januari melalui SmarterMail build 9511. Namun, CISA menegaskan bahwa celah tersebut kini telah dimanfaatkan secara aktif dalam kampanye ransomware, sehingga tingkat risikonya meningkat signifikan.
Sebagai respons, CISA memasukkan CVE-2026-24423 ke dalam Known Exploited Vulnerabilities (KEV) Catalog. Badan tersebut mewajibkan lembaga federal AS dan entitas yang berada di bawah panduan BOD 22-01 untuk segera menerapkan pembaruan keamanan atau menghentikan penggunaan SmarterMail paling lambat 26 Februari 2026.
Di periode yang hampir bersamaan dengan penambalan CVE-2026-24423, peneliti watchTowr juga menemukan celah authentication bypass lain yang dilacak secara internal sebagai WT-2026-0001. Kerentanan ini memungkinkan pengaturan ulang kata sandi administrator tanpa verifikasi apa pun dan dilaporkan telah dieksploitasi tidak lama setelah patch dirilis. Indikasi eksploitasi tersebut didasarkan pada laporan anonim, jejak log pada sistem yang telah dikompromikan, serta endpoint yang sesuai dengan jalur kode rentan.
Sejak saat itu, SmarterTools telah memperbaiki sejumlah celah tambahan yang dikategorikan kritis. Administrator sistem sangat disarankan untuk memperbarui instalasi SmarterMail ke build terbaru, yakni build 9526 yang dirilis pada 30 Januari, guna meminimalkan risiko kompromi lebih lanjut.
Peringatan ini menjadi pengingat bahwa server email yang dikelola sendiri merupakan target bernilai tinggi bagi pelaku ransomware, dan keterlambatan dalam menerapkan patch dapat berujung pada kompromi serius terhadap infrastruktur TI organisasi.







