Μια άγνωστη έως τώρα ευπάθεια (zero-day) στο Active! Mail επιτρέπει σε κακόβουλους χρήστες να εκτελούν απομακρυσμένα κώδικα και αυτή τη στιγμή χρησιμοποιείται ενεργά σε επιθέσεις εναντίον μεγάλων οργανισμών στην Ιαπωνία.
Το Active! Mail είναι ένας web-based email client, που αρχικά αναπτύχθηκε από την TransWARE και μετέπειτα εξαγοράστηκε από την Qualitia (ιαπωνικές εταιρείες). Αν και δεν έχει τη διεθνή απήχηση υπηρεσιών όπως το Gmail ή το Outlook, χρησιμοποιείται ευρέως στην Ιαπωνία ως μέρος εταιρικών λύσεων, ιδιαίτερα από μεγάλες επιχειρήσεις, πανεπιστήμια, κρατικούς φορείς και τράπεζες.
Η Qualitia αναφέρει ότι το λογισμικό είναι εγκατεστημένο σε πάνω από 2.250 οργανισμούς, εξυπηρετώντας πάνω από 11 εκατομμύρια χρήστες, κάτι που το καθιστά σημαντικό εργαλείο για την ιαπωνική αγορά ηλεκτρονικής επικοινωνίας.
Δείτε επίσης: Ευπάθειες SQL Injection επηρεάζουν δημοφιλείς TP-Link routers
Στο τέλος της περασμένης εβδομάδας, η εταιρεία κυκλοφόρησε προειδοποίηση ασφαλείας για ένα κρίσιμο πρόβλημα stack-based buffer overflow (CVE-2025-42599, βαθμολογία CVSS: 9.8), το οποίο επηρεάζει όλες τις εκδόσεις του Active! Mail έως και την ‘BuildInfo: 6.60.05008561’ (σε όλες τις υποστηριζόμενες πλατφόρμες).
Το ενημερωτικό σημείωμα προειδοποιεί ότι, αν σταλεί ειδικά κατασκευασμένο αίτημα από απομακρυσμένο εισβολέα, μπορεί να προκληθεί εκτέλεση αυθαίρετου κώδικα ή ακόμα και κατάρρευση της υπηρεσίας (DoS).
Ενώ η Qualitia βρίσκεται ακόμα σε φάση διερεύνησης για το αν το πρόβλημα έχει ήδη αξιοποιηθεί, το CERT της Ιαπωνίας επιβεβαίωσε ότι το κενό ασφαλείας χρησιμοποιείται ενεργά, προτρέποντας τους χρήστες να αναβαθμίσουν άμεσα στην έκδοση 6.60.06008562.
Το Kagoya Japan, πάροχος υπηρεσιών hosting και πληροφορικής, ανέφερε πολλαπλές επιθέσεις κατά τη διάρκεια του Σαββατοκύριακου, γεγονός που το οδήγησε να διακόψει προσωρινά κάποιες υπηρεσίες. Σε ανακοίνωσή του, ο πάροχος ανέφερε: “Πιστεύουμε ότι το πρόβλημα σχετίζεται με την ευπάθεια που αποκάλυψε πρόσφατα η Qualitia“.
Μια παρόμοια διακοπή υπηρεσίας λόγω πιθανών προσπαθειών εκμετάλλευσης αναφέρθηκε επίσης από τον πάροχο υπηρεσιών φιλοξενίας ιστοσελίδων και IT, WADAX.
Δείτε επίσης: Οι Βορειοκορεάτες hackers Kimsuky εκμεταλλεύονται ευπάθεια RDP
«Αυτή τη στιγμή, δεν μπορούμε να διασφαλίσουμε τη χρήση της υπηρεσίας με ασφάλεια για τους πελάτες μας», ανακοίνωσε η WADAX. «Για το λόγο αυτό, θέτοντας την ασφάλεια των πελατών μας ως προτεραιότητα, έχουμε αναστείλει προσωρινά την υπηρεσία ηλεκτρονικού ταχυδρομείου Active! για προληπτικούς λόγους».
Ο ιαπωνικός πάροχος υπηρεσιών διαδικτύου IIJ ανακοίνωσε επίσης ότι επηρεάστηκε από επιθέσεις που εκμεταλλεύονται το CVE-2025-42599, θέτοντας σε κίνδυνο τις πληροφορίες των πελατών. Οι επιθέσεις εντοπίστηκαν για πρώτη φορά στις 15 Απριλίου, υποδεικνύοντας την εκμετάλλευση της ευπάθειας ως zero-day.
Ο ερευνητής ασφαλείας της Macnica, Yutaka Sejiyama, ανέφερε στο BleepingComputer ότι τουλάχιστον 227 διακομιστές Active! είναι εκτεθειμένοι στο διαδίκτυο και ενδέχεται να είναι στόχοι αυτών των επιθέσεων, με 63 από αυτούς να χρησιμοποιούνται σε πανεπιστήμια.
Το CERT της Ιαπωνίας έχει προτείνει συγκεκριμένα μέτρα για την αντιμετώπιση του προβλήματος για εκείνους που δεν μπορούν να εφαρμόσουν την ενημέρωση αμέσως: π.χ. διαμόρφωση του Web Application Firewall (WAF) ώστε να επιτρέπει HTTP request body inspection και να μπλοκάρει multipart/form-data headers αν το μέγεθός τους υπερβαίνει έναν συγκεκριμένο περιορισμό.
Δείτε επίσης: Νέα ευπάθεια NTLM των Windows χρησιμοποιείται σε επιθέσεις
Επίσης, προτείνεται η μείωση της χρήσης του Active! Mail. Αν η εφαρμογή δεν είναι απολύτως αναγκαία, οι οργανισμοί μπορούν να στραφούν σε πιο ασφαλή ή ευρέως υποστηριζόμενα εργαλεία email (τουλάχιστον μέχρι να αντιμετωπιστεί το ζήτημα). Αν το Active! Mail πρέπει να παραμείνει ενεργό, η χρήση του θα πρέπει να περιοριστεί σε απομονωμένα περιβάλλοντα και σε συσκευές που δεν περιέχουν ευαίσθητα δεδομένα.
Πηγή: www.bleepingcomputer.com
