GreyNoise: разведка CVE-2025-52691, массовое сканирование SmarterMail

После публичного раскрытия критической уязвимости CVE-2025-52691, затрагивающей механизм загрузки произвольных файлов в SmarterMail, аналитики GreyNoise Labs зафиксировали скоординированные усилия по разведке —攻击ующие систематически сканируют сервисы в поисках уязвимых экземпляров.

Ключевые факты

• Начиная с 12 января 2026 года GreyNoise зафиксировала 5541 сеанс, нацеленных на конечную точку /api/v1/licensing/about, используемую SmarterMail для получения информации о версии.
• Деятельность расценивается как разведка, а не прямая эксплуатация: не наблюдалось последующих попыток обращения к другим конечным точкам SmarterMail или загрузки файлов с идентифицированных IP-адресов.
• Основная цель атакующих — составление списка целей и определение версий SmarterMail в инфраструктуре потенциальных жертв.

Технические характеристики и сигнатуры

Кампания по разведке проявила четкие инфраструктурные отпечатки и поведенческие шаблоны:

• Обнаружены три отличительных отпечатка JA4T TCP, указывающих на использование Unix-подобных систем.
• Первичный отпечаток соответствует средам WSL Ubuntu 22.04.
• Второй вариант отпечатка намекает на использование больших фреймов или пользовательских конфигураций MTU — характерно для виртуализованных или облачных установок.
• User-Agent используется циклически: злоумышленники чередуют поддельные и реальные идентификаторы дистрибутивов (включая Fedora, CentOS, Debian, Knoppix), а также вымышленные названия — видимая попытка маскировки под браузерный трафик.
• Версии браузеров в строках User-Agent варьируются от Chrome/Firefox 118 до 135, что указывает на автоматизированные сканеры.

Поведение злоумышленников и оценка угрозы

Тактика злоумышленников явно ориентирована на скрытность и сбор информации: выяснение версии SmarterMail — ключевой этап подготовки к возможной дальнейшей эксплуатации. Однако на момент наблюдения фактов непосредственной эксплуатации, попыток загрузки файлов или обращения к другим уязвимым конечным точкам не зафиксировано.

GreyNoise работает над созданием меток обнаружения как для действий по разведке, связанных с CVE-2025-52691, так и для любых потенциальных попыток эксплуатации.

Рекомендации для команд безопасности

Для минимизации рисков и улучшения видимости атак эксперты GreyNoise рекомендуют:

• Отслеживать обращения к конечной точке /api/v1/licensing/about и аномальные запросы к SmarterMail в своей сети.
• Использовать специализированные запросы GNQL для выявления схожего разведывательного поведения в данных GreyNoise.
• Проверить и при необходимости обновить версии SmarterMail, а также применить соответствующие патчи и компенсирующие меры, закрывающие CVE-2025-52691.
• Мониторить сетевые отпечатки (JA4T TCP), а также необычные User-Agent строки и диапазоны версий браузеров, характерные для автоматизированных сканеров.
• Рассмотреть внедрение правил IDS/IPS и блокировку подозрительных IP-адресов после подтверждения их участия в разведке.

Вывод

Зарегистрированная GreyNoise кампания — показатель того, что злоумышленники активно картируют потенциальные жертвы сразу после раскрытия критической уязвимости. На данном этапе действия представляют собой сбор данных и подготовку, но ситуация может быстро эскалировать, если удастся идентифицировать и подтвердить уязвимые инстансы SmarterMail. Проактивное наблюдение, быстрое применение патчей и использование детекторов на базе GNQL — ключевые меры для снижения риска.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.