SmarterMail 高危漏洞遭勒索软件攻击，企业邮件服务器安全告急！

攻击者无需登录即可远程执行任意命令，完全控制邮件服务器。美国网络安全机构已紧急要求所有联邦机构限期修复。

近日，网络安全领域曝出一则严重警报：知名企业邮件服务器软件 SmarterMail 被曝存在一个未经身份验证的远程代码执行漏洞（CVE-2026-24423），该漏洞已被勒索软件组织实际利用。

这意味着，攻击者无需任何登录凭证，即可远程攻陷邮件服务器，执行任意操作系统命令，进而可能加密系统、窃取敏感数据并实施勒索。

此次曝光的 CVE-2026-24423 漏洞 CVSS 评分高达 9.3 分，属于严重级别。攻击者通过软件中的 ConnectToHub API，可以诱导服务器连接至其控制的恶意服务器，从而向目标服务器发送并执行任意命令，最终实现完全控制。

值得注意的是，这并非针对 SmarterMail 的孤立攻击。

此前，美国网络安全和基础设施安全局（CISA）已将另外两个 SmarterMail 漏洞列入 “已知被利用漏洞” 目录。攻击者曾利用其中一个漏洞绕过身份验证并重置管理员密码。

此次事件是第三个被实际利用的漏洞，表明攻击者正在对该产品进行系统性、持续性的漏洞挖掘与利用，形成了 “三重漏洞攻击” 的严峻态势。

面对如此严峻的威胁，各方已迅速采取行动。

CISA 已将此漏洞加入其 KEV 目录，并发布具有约束力的操作指令，命令所有联邦机构必须在 2026年2月26日前 完成修补，以消除风险。

CISA 在警告中明确指出，该漏洞已被活跃的勒索软件组织利用，强调了其危害的严重性和紧迫性。

软件厂商 SmarterTools 方面，已于 2026年1月15日发布了安全更新（版本 9511）。该补丁不仅修复了此次曝光的 CVE-2026-24423，也一并修复了此前被利用的两个漏洞。

所有使用 SmarterMail 的企业和组织，应立即检查版本并升级至 9511 或更高版本。

此次事件再次暴露了企业在面对复杂、持续性网络攻击时的常见短板：

资产梳理不清：企业可能使用了存在漏洞的软件，但并未纳入有效的资产管理和监控范围，导致无法及时获知漏洞情报并响应。

漏洞修复滞后：即使厂商发布了补丁，由于担心影响业务稳定性或缺乏规范的补丁管理流程，许多企业未能及时应用更新，给攻击者留下了时间窗口。

纵深防御缺失：过度依赖单一产品的安全性，缺乏网络隔离、入侵检测、行为监控等纵深防御措施，一旦边界被突破，系统即面临全面沦陷的风险。

面对日益专业化、产业化的网络攻击，企业必须转变“被动修补”的思维，构建 主动、纵深的安全防御体系。

1. 建立常态化的安全评估机制

定期对核心业务系统，尤其是像邮件服务器这类存储大量敏感信息、对外暴露服务端口的关键系统，进行全面的安全评估至关重要。

这应包括：

2. 选择具备权威资质的专业服务伙伴

网络安全评估是一项高度专业化的工作，选择具备国家权威资质、经验丰富的服务提供商是保障评估质量、满足合规要求的前提。

例如，具备 CCRC（信息安全服务资质）、CMA（检验检测机构资质认定） 等资质的机构，其出具的报告更具公信力，并可加盖 CNAS、CMA 双章，满足等保测评、系统上线验收、行业合规考核等多种场景的硬性要求。

3. 重视全流程的服务与修复闭环

安全评估的终点不应是报告交付，而应是风险的有效闭环。专业的服务应包含：

图片修改-(4).jpg

天磊卫士作为国家高新技术企业，拥有 CCRC、CMA、ITSEC 等多项国家级安全服务资质，核心团队持有 CISSP、CISP-PTE 等顶级认证，并长期担任省级攻防演练裁判专家。

我们提供从 漏洞扫描、渗透测试、代码审计到基线核查、病毒查杀 的一站式网络安全评估服务，尤其擅长为邮件系统、OA 系统等关键业务系统提供上线前安全评估、年度安全巡检及专项加固服务。

我们不仅交付专业的报告，更注重通过一对一修复指导与免费复测，帮助企业真正解决安全问题，构建主动防御能力。

面对 SmarterMail 此类持续性的高危漏洞威胁，立即行动，进行专业的安全评估与加固，是抵御勒索软件攻击、保障业务连续性的最有效手段。

在数字化浪潮中，网络安全已从“可选项”变为“生存项”。一次未及时修补的漏洞，可能成为压垮企业的最后一根稻草。