لاحظ باحثو Flare الذين يراقبون قنوات Telegram السرية ومنتديات الجرائم الإلكترونية أن الجهات الفاعلة في مجال التهديد تشارك بسرعة عمليات استغلال إثبات المفهوم والأدوات الهجومية وبيانات اعتماد المسؤول المسروقة المتعلقة بثغرات SmarterMail التي تم الكشف عنها مؤخرًا، مما يوفر نظرة ثاقبة حول مدى سرعة قيام المهاجمين باستخدام العيوب الأمنية الجديدة كسلاح.
حدث هذا النشاط في غضون أيام من الكشف عن الثغرات الأمنية، حيث قامت الجهات الفاعلة في مجال التهديد بمشاركة وبيع أكواد الاستغلال وإمكانية الوصول المخترقة المرتبطة بـ CVE-2026-24423 وCVE-2026-23760، وهي عيوب خطيرة تتيح تنفيذ التعليمات البرمجية عن بُعد وتجاوز المصادقة على خوادم البريد الإلكتروني المكشوفة.
تم تأكيد هذه الثغرات الأمنية منذ ذلك الحين في الهجمات الواقعية، بما في ذلك حملات برامج الفدية، مما يسلط الضوء على كيفية استهداف المهاجمين بشكل متزايد للبنية التحتية للبريد الإلكتروني كوسيلة”https://flare.io/learn/resources/blog/threat-spotlight-initial-access-brokers-on-russian-hacking-forums?utm_campaign=38780470-SmartmailBleepingComputerFebruary18&utm_source=PaidMedia&utm_medium=BleepingComputer&utm_term=Over1%2C000SmarterMailServersRemainVulnerabletoActiveRansomwareExploits&utm_content=Over1%2C000SmarterMailServersRemainVulnerabletoActiveRansomwareExploits” الهدف=”_blank” rel=”sponsored noopener”> الوصول الأولي نقطة في شبكات الشركات، مما يسمح لهم بالتحرك بشكل أفقي وإنشاء موطئ قدم ثابت.
CVE-2026-24423 وCVE-2026-23760: أخطاء RCE الخطيرة وتجاوز المصادقة
خلقت العديد من الثغرات الأمنية التي تم الكشف عنها مؤخرًا في SmarterMail عاصفة مثالية جعلت المنصة جذابة للغاية للمهاجمين. من بينها، يبرز CVE-2026-24423 باعتباره ثغرة خطيرة في تنفيذ التعليمات البرمجية عن بعد غير مصادق عليها والتي تؤثر على الإصدارات السابقة للإصدار 9511.
مع الحصول على درجة CVSS تبلغ 9.3 وعدم الحاجة إلى تفاعل المستخدم، فإن الخلل مناسب بشكل خاص للأتمتة والمسح واسع النطاق وحملات الاستغلال الشامل.
بالتوازي، تتضمن نقاط الضعف الإضافية CVE-2026-23760 (CVSS 9.3) عيوبًا في تجاوز المصادقة وعيوبًا منطقية لإعادة تعيين كلمة المرور. فهو يسمح للمهاجمين بإعادة تعيين بيانات اعتماد المسؤول أو الحصول على وصول مميز إلى النظام الأساسي. تظهر الأبحاث أيضًا أن المهاجمين قاموا بسرعة بإجراء هندسة عكسية للتصحيحات لتحديد نقاط الضعف هذه واستغلالها في غضون أيام من إطلاقها.
عند دمج هذه المشكلات، مكنت سيناريوهات الاستيلاء الكامل على الخادم، حيث يمكن للمهاجمين الانتقال من الوصول على مستوى التطبيق إلى التحكم في نظام التشغيل واحتمال التسوية على مستوى المجال في البيئات المتصلة.
من وجهة نظر المهاجم، يعد هذا المزيج مثاليًا: SmarterMail عبارة عن خدمة مكشوفة على الشبكة، وغالبًا ما تتمتع بمكانة ثقة عالية داخل بيئات المؤسسة، وفي كثير من الحالات تتم مراقبتها بشكل أقل قوة من أنظمة نقطة النهاية المحمية بواسطة EDR.
بمجرد توفر كود استغلال لإثبات المفهوم، يمكن تشغيل الاستغلال بسرعة – مما يعني أن الجدول الزمني من الكشف عن الثغرات الأمنية إلى نشر برامج الفدية يمكن أن يتقلص إلى أيام.
تم اختراق SmarterTools بسبب عيب في منتج خاص بها، وتبع ذلك مجموعات برامج الفدية
وتظهر الأحداث الأخيرة بالضبط كيف يسير خط الأنابيب هذا.
وفقًا لموقع SmarterTools”https://portal.smartertools.com/community/a97747/summary-of-smartertools-breach-and-smartermail-cves.aspx” الهدف=”_blank” rel=”sponsored noopener”> تقريرتم اختراق SmarterTools في يناير 2026 بعد أن استغل المهاجمون خادم SmarterMail غير المصحح الذي يعمل على جهاز افتراضي داخلي تم كشفه داخل شبكتهم.
وتضمنت البيئة المخترقة شبكات المكاتب والمختبرات وقطاع مركز البيانات المتصل عبر Active Directory، حيث تحرك المهاجمون أفقيًا وأثروا على حوالي عشرة خوادم تعمل بنظام Windows.
قامت الشركة بإغلاق البنية التحتية المتأثرة، واستعادة الأنظمة من النسخة الاحتياطية، وتدوير بيانات الاعتماد، وإزالة بعض تبعيات Windows/AD. ومع ذلك، فقد تم الإبلاغ عن أن خدمات العملاء والبيانات الأساسية لم تتأثر. اكتسب المهاجمون موطئ قدم داخل الشبكة وحاولوا اتخاذ إجراءات ما بعد الاستغلال على غرار برامج الفدية؛ لم تكن ناجحة، وذلك بفضل تجزئة الشبكة.
وفي تحقيق آخر”https://www.bleepingcomputer.com/news/security/hackers-breach-smartertools-network-using-flaw-in-its-own-software/?utm_source=chatgpt.com” الهدف=”_blank” rel=”sponsored noopener”>تم النشر بواسطة Bleeping Computer، تمكن مشغلو برامج الفدية من الوصول الأولي من خلال ثغرات SmarterMail وانتظروا قبل تشغيل حمولات التشفير، وهو نمط سلوك كلاسيكي تابع.
هذا النمط مهم:
- الوصول الأولي عبر ثغرة أمنية في خادم البريد الإلكتروني
- حصاد أوراق الاعتماد أو استخراج الرمز
- الحركة الجانبية عبر Active Directory
- المثابرة من خلال المهام المجدولة أو إساءة استخدام أداة DFIR
- نشر برامج الفدية بعد فترة التدريج
تم ربط بعض الحملات بمجموعة Warlock Ransomware، مع ملاحظة تداخلات مع مجموعات الأنشطة المتوافقة مع الدولة القومية.
خوادم البريد الإلكتروني: مهاجمو البنية التحتية للهوية يستهدفون أولاً
تقع خوادم البريد الإلكتروني عند تقاطع فريد من الثقة والرؤية.
غالبًا ما يقدمون:
- رموز مصادقة المجال
- إمكانية إعادة تعيين كلمة المرور
- قنوات الاتصال الخارجية
- الوصول إلى الرسوم البيانية الاتصال الداخلية
- التكامل مع خدمات الهوية والدليل
يدرك المهاجمون أن أنظمة البريد الإلكتروني تعتمد على سلاسل مصادقة متعددة المكونات حيث يمكن لرابط ضعيف واحد أن يكسر الثقة العامة. يؤدي المساس بالبنية الأساسية للبريد الإلكتروني إلى تعريض الهوية للخطر بشكل فعال.
تم تحديد أكثر من 1200 خادم ضعيف على Shodan
لقد وجدنا ما يقرب من 34000 خادمًا على Shodan مع مؤشرات لتشغيل SmarterMail. من بين 34000، كان هناك 17754 خادمًا فريدًا.
يُظهر فحص إضافي لهذه الخوادم أن 1,185 منها معرضة لتجاوز المصادقة أو عيوب RCE. تتحدث منشورات أخرى عن ما يقرب من 6000 خادم معرض للخطر.
يُظهر تحليل الموقع الجغرافي لهذه الخوادم البالغ عددها 1185 هيمنة الولايات المتحدة:
يُظهر تحليل إضافي لمزودي خدمات الإنترنت والمنظمات توزيعًا متنوعًا للغاية لخوادم SmarterMail المفتوحة، والعديد من لوحات الإدارة ذاتية الاستضافة، والاستضافة المشتركة، وموفري VPS، والشبكات السحابية ذات الأغراض العامة، وهي نموذجية للنشر من قبل الأفراد بدلاً من المؤسسات.
وقد يشير هذا إلى أنه بعد الضجة الأمنية القوية خلال الأسابيع الماضية، سارعت المنظمات إلى الرد وحجب سطح الهجوم هذا.
المنتديات السرية تشارك الثغرات في غضون أيام من الكشف عنها
ال”https://flare.io/dark-web-monitoring?utm_campaign=38780470-SmartmailBleepingComputerFebruary18&utm_source=PaidMedia&utm_medium=BleepingComputer&utm_term=Over1%2C000SmarterMailServersRemainVulnerabletoActiveRansomwareExploits&utm_content=Over1%2C000SmarterMailServersRemainVulnerabletoActiveRansomwareExploits” الهدف=”_blank” rel=”sponsored noopener”> النظم البيئية تحت الأرض سريعون في الرد على مثل هذه المنشورات. تم نشر التهديدات المشتركة في بداية شهر يناير تقريبًا، وفي نفس اليوم، كانت هناك إشارات وإشارات إلى نقاط الضعف هذه. لقد رأينا حتى الآن العشرات من المنشورات والإشارات إلى نقاط الضعف هذه.
هذا هو السلوك السري الطبيعي عندما يتعلق الأمر بنقاط الضعف الحرجة.
لقد رأينا أيضًا بعض المراجع الضارة. بعد أيام قليلة من النشر الأول، كانت هناك إشارات إلى إثبات المفهوم أو استغلال نقاط الضعف. على سبيل المثال، تعرض قناة Telegram الناطقة باللغة العربية إثبات المفهوم (PoC).
يمكنك أيضًا رؤية كيف يُظهر ممثل التهديد إثباتًا للمفهوم:
ويظهر ممثل تهديد آخر دليلاً على مفهوم هذه الثغرة الأمنية:
في مجموعة Telegram الناطقة باللغة الإسبانية، رأينا إشارات إلى أداة أمنية هجومية:
وفي مجموعة أخرى على تيليجرام، شاهدنا أ”https://flare.io/glossary/stealer-logs/?utm_campaign=38780470-SmartmailBleepingComputerFebruary18&utm_source=PaidMedia&utm_medium=BleepingComputer&utm_term=Over1%2C000SmarterMailServersRemainVulnerabletoActiveRansomwareExploits&utm_content=Over1%2C000SmarterMailServersRemainVulnerabletoActiveRansomwareExploits” الهدف=”_blank” rel=”sponsored noopener”> تفريغ بيانات بيانات اعتماد المسؤول تم تمييزه لأنه يأتي من خادم SmarterMail المخترق:
عند الوصول إلى أحد الروابط، يمكنك بالفعل رؤية قائمة طويلة من بيانات اعتماد المسؤول والمجالات (أو تسجيل الدخول) التي تنتمي إليها.
CISA تؤكد الاستغلال النشط في حملات برامج الفدية
تم نشر هذه الثغرات الأمنية في بداية عام 2026، وأضافت CISA CVE-2026-24423 إلى كتالوج الثغرات الأمنية المستغلة المعروفة في بداية فبراير 2026، بعد التأكد من الاستغلال النشط لبرامج الفدية.
وهذا يؤكد أن المهاجمين يسارعون إلى استغلال الثغرات الأمنية الهامة المرتبطة بـ RCE المكتشفة حديثًا:
- الكشف عن نقاط الضعف
- PoC مكتوب وتم إصداره
- عملية المسح الشامل
- التسليح: استخراج البيانات، وبرامج الفدية، وما إلى ذلك.
الجدول الزمني يتقلص من أشهر / أسابيع إلى أيام.
كيفية حماية البنية التحتية للبريد الإلكتروني من الوصول إلى برامج الفدية
لا تزال العديد من المؤسسات تتعامل مع خوادم البريد الإلكتروني على أنها “البنية التحتية للتطبيقات فقط”. حسنًا، إنهم ليسوا كذلك!
وهي عبارة عن بنى تحتية للهوية تتيح العديد من نواقل الهجمات اللاحقة، بالإضافة إلى احتوائها على أسرار ومنطق أعمال. وينبغي أن تشمل الأولويات الدفاعية ما يلي:
- ضرورة التصحيح: يجب التعامل مع الثغرات الأمنية المهمة في خادم البريد الإلكتروني مثل الثغرات الأمنية في وحدة التحكم بالمجال.
- قياس الهوية عن بعد: يجب على المؤسسات مراقبة هذه البيئات من أجل:
- إعادة تعيين كلمة مرور المسؤول
- مكالمات API للمضيفين الخارجيين
- HTTP صادر غير متوقع من خوادم البريد
- تجزئة الشبكة: يجب ألا تتمتع البنية التحتية للبريد الإلكتروني أبدًا بوصول غير مقيد إلى الشبكات الداخلية.
- ممارسة صيد التهديدات:
- أنماط إساءة استخدام واجهة برمجة التطبيقات
- استمرارية المهمة المجدولة
- أدوات غير متوقعة مثل أطر عمل DFIR أو أدوات الإدارة عن بعد
خوادم البريد الإلكتروني هي البنية الأساسية للهوية، لذا قم بتأمينها وفقًا لذلك
تظهر قضايا SmarterMail مرة أخرى مدى سرعة عمليات الجرائم الإلكترونية الحديثة في إضافة الوصول الأولي المكتشف حديثًا إلى عملياتها المستمرة.
كما أنه يعيد التأكيد على الدور الحاسم الذي تلعبه خوادم البريد الإلكتروني في المؤسسة الحديثة:
- وسطاء الهوية
- مراسي الثقة
- منطق الأعمال
- بيانات استطلاعية لا تقدر بثمن لمتابعة الجرائم الإلكترونية
ستظل المنظمات التي تستمر في التعامل معها على أنها مجرد “أنظمة مراسلة” عرضة لهذا الجيل الجديد من خطوط أنابيب التسلل.
اعرف المزيد عن طريق الاشتراك في النسخة التجريبية المجانية لدينا.
برعاية وكتابة”https://try.flare.io/bleeping-computer/?utm_campaign=38780470-SmartmailBleepingComputerFebruary18&utm_source=PaidMedia&utm_medium=BleepingComputer&utm_term=Over1%2C000SmarterMailServersRemainVulnerabletoActiveRansomwareExploits&utm_content=Over1%2C000%” الهدف=”_blank” rel=”nofollow noopener”> مضيئة.