← Volver a artículos
Seguridad· 3 min de lectura

CVE-2026-24423: bypass de autenticación en SmarterMail explotado por ransomware

Qué es CVE-2026-24423

CVE-2026-24423 es una vulnerabilidad crítica de ejecución remota de código (RCE) sin autenticación en SmarterMail, el servidor de correo de SmarterTools. El fallo está en el endpoint de API ConnectToHub (/api/v1/settings/sysadmin/connect-to-hub), declarado de forma explícita como anónimo (AllowAnonymous = true). Traducido: cualquier atacante remoto, sin credenciales ni privilegios, puede llamarlo.

Lo que ocurre es un bypass de autenticación combinado con una deserialización insegura. El atacante manda una petición POST con un parámetro hubAddress que apunta a un servidor suyo. SmarterMail contacta entonces con ese servidor y le pide /web/api/node-management/setup-initial-connection. El servidor del atacante contesta con un objeto JSON que incluye un parámetro CommandMount; la aplicación lo procesa a través de MountConfiguration.Mount() y lo pasa a CommandLine.RunCommand(), que ejecuta comandos arbitrarios del sistema operativo: cmd.exe /c <comando> en Windows y /bin/bash -c <comando> en Linux/macOS. En Linux, encima, el flujo permite escalada de privilegios mediante sudo.

A quién afecta y gravedad

Están afectadas todas las compilaciones de SmarterMail anteriores a la build v100.0.9511. Hablamos de un servidor de correo que por definición da la cara a Internet, así que la superficie de ataque es enorme: cualquier instancia accesible públicamente y sin parchear puede caer por completo de forma remota y sin que nadie haga clic en nada.

La gravedad es crítica. La explotación masiva arrancó alrededor del 28 de enero de 2026; investigadores de watchTowr contaron más de 1.000 intentos de explotación desde unas 60 direcciones IP atacantes distintas en apenas dos semanas. No es un riesgo teórico: operadores de ransomware lo aprovecharon en caliente, y el propio fabricante, SmarterTools, fue comprometido por el grupo Storm-2603. Hay prueba de concepto pública que demuestra ejecución de comandos tanto en Windows como en Linux.

Con ataques reales de ransomware sobre la mesa, CISA añadió la vulnerabilidad a su catálogo de vulnerabilidades explotadas conocidas (KEV) y ordenó a las agencias federales estadounidenses parchear antes del 26 de febrero de 2026.

Mitigación y parche

La corrección llega en SmarterMail Build v100.0.9511, publicada el 15 de enero de 2026. Lo primero y prioritario es actualizar ya a esa versión o posterior.

Algunas recomendaciones más:

  • Si todavía no puedes parchear, restringe el acceso a la interfaz de administración y al endpoint ConnectToHub con cortafuegos o reglas de proxy inverso, dejándolo solo para direcciones de confianza.
  • Mira los registros del servidor buscando peticiones al endpoint connect-to-hub y conexiones salientes raras hacia hosts externos, que delatarían intentos de explotación.
  • Da por hecho que estás comprometido si tu instancia estuvo expuesta y sin parchear desde finales de enero: busca indicadores de ransomware, cuentas nuevas y tareas programadas que no reconozcas.
  • En despliegues sobre Linux, repasa la configuración de sudo del servicio para acotar el daño de una eventual ejecución de comandos.

Aislar bien el proceso del servidor de correo y aplicar controles de acceso obligatorio (MAC) ayuda a contener este tipo de RCE; tienes más detalles en nuestro artículo sobre SELinux y AppArmor.

Fuente