Peretas Bobol Jaringan SmarterTools Lewat Celah di Perangkat Lunaknya Sendiri
SmarterTools mengonfirmasi bahwa jaringannya berhasil ditembus oleh kelompok ransomware Warlock setelah penyerang mengeksploitasi celah keamanan pada sistem email internal. Meski insiden ini tidak berdampak langsung pada aplikasi bisnis inti maupun data akun pelanggan, serangan tersebut tetap menyebabkan kompromi pada sejumlah server internal perusahaan.
Menurut Chief Commercial Officer SmarterTools, Derek Curtis, intrusi terjadi pada 29 Januari melalui satu virtual machine SmarterMail yang dipasang oleh seorang karyawan. VM tersebut luput dari proses pembaruan rutin sehingga tetap menjalankan versi perangkat lunak yang rentan.
Sebelum insiden terjadi, SmarterTools mengoperasikan sekitar 30 server atau VM dengan SmarterMail di seluruh jaringannya. Namun, satu VM yang tidak terdeteksi dan tidak diperbarui itulah yang akhirnya menjadi pintu masuk penyerang dan memicu pelanggaran keamanan.
Dampak Serangan dan Pergerakan Lateral
Meskipun SmarterTools memastikan data pelanggan tidak terdampak secara langsung, investigasi internal mengonfirmasi bahwa 12 server Windows di jaringan kantor perusahaan berhasil dikompromikan. Selain itu, sebuah pusat data sekunder yang digunakan untuk pengujian laboratorium, kontrol kualitas, dan hosting juga turut terdampak.
Setelah mendapatkan akses awal, penyerang bergerak secara lateral melalui Active Directory dengan memanfaatkan berbagai alat dan metode persistensi khas ekosistem Windows. Mayoritas infrastruktur SmarterTools berbasis Linux dilaporkan tidak terpengaruh oleh serangan ini.
Celah Keamanan yang Dieksploitasi
Akses awal didapatkan dengan mengeksploitasi CVE-2026-23760, sebuah kerentanan authentication bypass pada SmarterMail versi sebelum Build 9518. Celah ini memungkinkan penyerang mereset kata sandi administrator dan memperoleh hak akses penuh ke sistem.
SmarterTools menyatakan bahwa aktivitas tersebut dilakukan oleh kelompok ransomware Warlock, yang juga diketahui menyerang mesin milik pelanggan menggunakan pola serangan serupa. Dalam insiden ini, penyerang menunggu sekitar satu minggu setelah akses awal sebelum meluncurkan tahap akhir berupa upaya enkripsi massal.
Upaya Mitigasi dan Pencegahan
Serangan berhasil dihentikan sebelum mencapai dampak terburuk berkat sistem keamanan yang digunakan. Produk keamanan endpoint dilaporkan berhasil memblokir payload ransomware saat fase akhir, memungkinkan tim respons mengisolasi sistem terdampak dan memulihkan data dari cadangan terbaru.
Dalam serangan tersebut, penyerang memanfaatkan sejumlah alat seperti Velociraptor, SimpleHelp, serta versi WinRAR yang rentan. Mekanisme persistensi juga dibuat melalui startup items dan scheduled tasks.
Laporan sebelumnya mengaitkan kelompok Warlock dengan aktor ancaman yang didukung negara dan dilacak sebagai Storm-2603. Analisis lanjutan menunjukkan bahwa kelompok ini mengombinasikan akses awal dengan fitur bawaan SmarterMail untuk memperoleh kendali sistem secara penuh, sembari menyamarkan aktivitasnya agar terlihat seperti tindakan administratif sah.
Selain CVE-2026-23760, peneliti juga mengamati aktivitas pemindaian terhadap CVE-2026-24423, celah SmarterMail lain yang telah ditandai sebagai aktif dieksploitasi. Namun, celah pertama dinilai lebih senyap dan sulit terdeteksi, sehingga menjadi pilihan utama penyerang.
Untuk mengatasi seluruh kerentanan terbaru pada SmarterMail, administrator sangat disarankan segera memperbarui sistem ke Build 9511 atau versi yang lebih baru guna mencegah eksploitasi lanjutan.
