SmarterMail 보안 경고: 실제 공격에 악용되고 있는 다수의 CVE
최근 SmarterTools는 Warlock(일명 Storm-2603) 랜섬웨어 그룹이 CVE-2026-24423 취약점을 이용해 패치되지 않은 SmarterMail 인스턴스를 공격하고 자사 네트워크를 침해했다는 사실을 확인했습니다. 이번 사건은 중요한 보안 문제를 다시 한 번 부각시킵니다.
현재 CISA의 Known Exploited Vulnerabilities(KEV) 카탈로그에 등재된 여러 SmarterMail 취약점—CVE-2025-52691 (CVSS 10.0), CVE-2026-23760 (CVSS 9.8), CVE-2026-24423 (CVSS 9.3)—이 이미 실제 환경에서 활발히 악용되고 있습니다.
SmarterMail은 Windows 및 Linux 환경에서 사용할 수 있는 올인원 이메일 및 협업 서버로, Microsoft Exchange의 저렴한 대안으로 널리 사용되고 있습니다. 특히 오픈소스 기반이라는 점 때문에 공격자들은 릴리즈 노트를 분석하거나 패치 전후 코드를 비교(patch diffing)하여 취약점을 빠르게 찾아낼 수 있습니다. 이미 실제 공격이 진행 중인 상황에서 업데이트를 미루는 것은 더 이상 안전한 선택이 아닙니다. 지금 즉시 패치해야 합니다.
주요 취약점 분석
1. SmarterMail 임의 파일 업로드 취약점 (CVE-2025-52691)
CVE-2025-52691은 인증 없이 원격 코드 실행이 가능한 치명적인 취약점입니다. /api/upload 엔드포인트가 외부에 노출되어 있어 익명 사용자가 파일을 업로드할 수 있는 문제가 핵심 원인입니다.
이 취약점은 업로드 과정에서 사용자가 제어할 수 있는 guid 파라미터에 대한 검증이 충분하지 않아 발생합니다. 공격자는 이를 악용해 경로 조작(path traversal)을 수행할 수 있으며, 의도된 업로드 디렉터리를 벗어나 임의의 파일을 시스템 내 원하는 위치에 저장할 수 있습니다.
특히 악성 contextData를 포함한 multipart 요청을 구성하면 웹쉘(webshell)과 같은 파일을 업로드하여 인증 없이 전체 시스템에 대한 원격 코드 실행 권한을 획득할 수 있습니다.
2. SmarterMail 인증 우회 취약점 (CVE-2026-23760)
CVE-2026-23760은 인증을 거치지 않고 관리자 계정의 비밀번호를 재설정할 수 있는 취약점입니다. /force-reset-password API 엔드포인트를 통해 공격이 이루어집니다.
이 문제는 비밀번호 재설정 로직의 설계 결함에서 비롯됩니다. IsSysAdmin, Username, NewPassword와 같은 입력값이 인증 절차 없이 그대로 처리되기 때문입니다.
공격자는 관리자 계정의 사용자명을 알고 있을 경우, 해당 계정의 비밀번호를 재설정하고 시스템을 장악할 수 있습니다. 이후 SmarterMail의 기능을 악용해 운영체제 명령을 실행함으로써, 최종적으로 완전한 원격 코드 실행 권한을 확보할 수 있습니다.
3. SmarterMail ConnectToHub 원격 코드 실행 취약점 (CVE-2026-24423)
CVE-2026-24423은 /api/v1/settings/sysadmin/connect-to-hub 엔드포인트에서 발생하는 인증 없는 원격 코드 실행 취약점입니다.
SmarterMail은 해당 기능에서 인증을 요구하지 않으며, 외부 허브 서버에서 전달되는 설정 데이터를 신뢰하는 문제가 있습니다. 공격자는 SystemMount 또는 CommandMount와 같은 악의적인 값을 전달하여 인증 없이 운영체제 수준의 명령을 실행할 수 있습니다.
특히 쓰기 가능한 바인드 마운트(bind mount)를 사용하는 컨테이너 환경에서는 데이터 손실, 지속성 확보, 서비스 장애 등으로 이어질 수 있어 위험성이 더욱 큽니다.
공격 흐름 (Attack Chain)
악성 허브 구성
공격자는 명령이 포함된 설정 데이터를 반환하는 가짜 허브 API 서버를 구축합니다.
인증 없는 요청 유도
대상 서버가 공격자의 허브 주소로 /connect-to-hub 요청을 보내도록 유도합니다.
신뢰된 설정 다운로드
서버는 검증 없이 외부 설정을 받아들입니다.
명령 실행
SmarterMail이 악성 필드를 처리하면서 운영체제 명령이 실행되고, 공격자는 원격 코드 실행 권한을 획득합니다.
결론
여러 치명적인 취약점이 인증 우회 및 원격 코드 실행을 가능하게 하는 상황에서, SmarterMail을 사용하는 조직은 즉시 패치를 적용해야 합니다. 이는 공격 표면을 줄이기 위한 가장 기본적인 대응입니다.
또한 방어 체계 점검도 중요합니다. RidgeBot과 같은 자동화된 침투 테스트 도구를 활용하면, 위에서 언급한 세 가지 CVE에 대한 취약점 탐지 여부를 사전에 확인하고 실제 공격 전에 대응할 수 있습니다.
https://www.softwidesec.com/RidgeBot
Ridgebot에 대한 소개자료 및 데모요청은 소프트와이드시큐리티로 문의바랍니다
SmarterMail 보안 경고: 실제 공격에 악용되고 있는 다수의 CVE
최근 SmarterTools는 Warlock(일명 Storm-2603) 랜섬웨어 그룹이 CVE-2026-24423 취약점을 이용해 패치되지 않은 SmarterMail 인스턴스를 공격하고 자사 네트워크를 침해했다는 사실을 확인했습니다. 이번 사건은 중요한 보안 문제를 다시 한 번 부각시킵니다.
현재 CISA의 Known Exploited Vulnerabilities(KEV) 카탈로그에 등재된 여러 SmarterMail 취약점—CVE-2025-52691 (CVSS 10.0), CVE-2026-23760 (CVSS 9.8), CVE-2026-24423 (CVSS 9.3)—이 이미 실제 환경에서 활발히 악용되고 있습니다.
SmarterMail은 Windows 및 Linux 환경에서 사용할 수 있는 올인원 이메일 및 협업 서버로, Microsoft Exchange의 저렴한 대안으로 널리 사용되고 있습니다. 특히 오픈소스 기반이라는 점 때문에 공격자들은 릴리즈 노트를 분석하거나 패치 전후 코드를 비교(patch diffing)하여 취약점을 빠르게 찾아낼 수 있습니다. 이미 실제 공격이 진행 중인 상황에서 업데이트를 미루는 것은 더 이상 안전한 선택이 아닙니다. 지금 즉시 패치해야 합니다.
주요 취약점 분석
1. SmarterMail 임의 파일 업로드 취약점 (CVE-2025-52691)
CVE-2025-52691은 인증 없이 원격 코드 실행이 가능한 치명적인 취약점입니다. /api/upload 엔드포인트가 외부에 노출되어 있어 익명 사용자가 파일을 업로드할 수 있는 문제가 핵심 원인입니다.
이 취약점은 업로드 과정에서 사용자가 제어할 수 있는 guid 파라미터에 대한 검증이 충분하지 않아 발생합니다. 공격자는 이를 악용해 경로 조작(path traversal)을 수행할 수 있으며, 의도된 업로드 디렉터리를 벗어나 임의의 파일을 시스템 내 원하는 위치에 저장할 수 있습니다.
특히 악성 contextData를 포함한 multipart 요청을 구성하면 웹쉘(webshell)과 같은 파일을 업로드하여 인증 없이 전체 시스템에 대한 원격 코드 실행 권한을 획득할 수 있습니다.
2. SmarterMail 인증 우회 취약점 (CVE-2026-23760)
CVE-2026-23760은 인증을 거치지 않고 관리자 계정의 비밀번호를 재설정할 수 있는 취약점입니다. /force-reset-password API 엔드포인트를 통해 공격이 이루어집니다.
이 문제는 비밀번호 재설정 로직의 설계 결함에서 비롯됩니다. IsSysAdmin, Username, NewPassword와 같은 입력값이 인증 절차 없이 그대로 처리되기 때문입니다.
공격자는 관리자 계정의 사용자명을 알고 있을 경우, 해당 계정의 비밀번호를 재설정하고 시스템을 장악할 수 있습니다. 이후 SmarterMail의 기능을 악용해 운영체제 명령을 실행함으로써, 최종적으로 완전한 원격 코드 실행 권한을 확보할 수 있습니다.
3. SmarterMail ConnectToHub 원격 코드 실행 취약점 (CVE-2026-24423)
CVE-2026-24423은 /api/v1/settings/sysadmin/connect-to-hub 엔드포인트에서 발생하는 인증 없는 원격 코드 실행 취약점입니다.
SmarterMail은 해당 기능에서 인증을 요구하지 않으며, 외부 허브 서버에서 전달되는 설정 데이터를 신뢰하는 문제가 있습니다. 공격자는 SystemMount 또는 CommandMount와 같은 악의적인 값을 전달하여 인증 없이 운영체제 수준의 명령을 실행할 수 있습니다.
특히 쓰기 가능한 바인드 마운트(bind mount)를 사용하는 컨테이너 환경에서는 데이터 손실, 지속성 확보, 서비스 장애 등으로 이어질 수 있어 위험성이 더욱 큽니다.
공격 흐름 (Attack Chain)
악성 허브 구성
공격자는 명령이 포함된 설정 데이터를 반환하는 가짜 허브 API 서버를 구축합니다.
인증 없는 요청 유도
대상 서버가 공격자의 허브 주소로 /connect-to-hub 요청을 보내도록 유도합니다.
신뢰된 설정 다운로드
서버는 검증 없이 외부 설정을 받아들입니다.
명령 실행
SmarterMail이 악성 필드를 처리하면서 운영체제 명령이 실행되고, 공격자는 원격 코드 실행 권한을 획득합니다.
결론
여러 치명적인 취약점이 인증 우회 및 원격 코드 실행을 가능하게 하는 상황에서, SmarterMail을 사용하는 조직은 즉시 패치를 적용해야 합니다. 이는 공격 표면을 줄이기 위한 가장 기본적인 대응입니다.
또한 방어 체계 점검도 중요합니다. RidgeBot과 같은 자동화된 침투 테스트 도구를 활용하면, 위에서 언급한 세 가지 CVE에 대한 취약점 탐지 여부를 사전에 확인하고 실제 공격 전에 대응할 수 있습니다.
https://www.softwidesec.com/RidgeBot
Ridgebot에 대한 소개자료 및 데모요청은 소프트와이드시큐리티로 문의바랍니다