SmarterMail-Lücke: 11.000 Server offen für Angreifer

Eine schwerwiegende Schwachstelle in SmarterMail gefährdet fast 11.000 ungepatchte Server. Angreifer können Systeme vollständig übernehmen, während ein öffentlicher Exploit die Gefahr weiter verschärft.

Eine kritische Sicherheitslücke in der weit verbreiteten E-Mail-Software SmarterMail gefährdet Tausende Unternehmen. Neue Daten zeigen: Fast 11.000 Server sind ungeschützt – ein gefundenes Fressen für Cyberkriminelle.

Massive Bedrohung mit höchstem Gefahrenwert

Die Schwachstelle mit der Kennung CVE-2025-52691 trägt die maximale Gefahrenstufe 10,0. Sie erlaubt Angreifern, ohne Passwort oder Authentifizierung schädlichen Code aus der Ferne auszuführen. Damit können sie die vollständige Kontrolle über betroffene Mailserver übernehmen.

Sicherheitsforscher des Unternehmens Censys schlugen am Montag Alarm. Ihre Analyse ergab, dass trotz verfügbarem Patch etwa 11.000 SmarterMail-Instanzen im Internet erreichbar und angreifbar sind. Das entspricht einem erheblichen Teil der weltweiten Installationen.

Viele Unternehmen unterschätzen ihre Verwundbarkeit – wenn fast 11.000 E-Mail‑Server ungeschützt im Internet stehen, reicht reaktives Handeln nicht mehr. Der kostenlose E‑Book‑Report „Cyber Security Awareness Trends“ richtet sich an Geschäftsführer und IT‑Verantwortliche und zeigt praxisnahe Sofortmaßnahmen, Prioritäten für schnelle Härtung und welche Kontrollen jetzt am meisten schützen. Konkrete Schritte, die auch kleine IT‑Teams ohne großes Budget umsetzen können. Jetzt kostenlosen Cyber‑Security‑Guide herunterladen

Die Reaktion der Administratoren fällt gefährlich langsam aus. Weniger als ein Prozent der gefundenen Server wurde in der Woche nach Bekanntwerden der Lücke gepatcht. „Vielen Organisationen fehlt der Überblick über ihre internetfähigen Systeme“, erklärt Matthew Guidry, Senior Product Detection Engineer bei Censys. Das verzögere lebenswichtige Sicherheitsupdates.

So funktioniert der Angriff

Der Fehler steckt in der Datei-Upload-Funktion. SmarterMail prüft weder Dateitypen noch Zielverzeichnisse ausreichend. Ein Angreifer kann so beliebige Dateien – etwa bösartige Skripte oder Web-Shells – auf den Server laden und ausführen.

Die Konsequenzen sind fatal: Mit den Rechten des SmarterMail-Dienstes können Cyberkriminelle sensible E-Mail-Daten stehlen, Ransomware installieren oder sich im Firmennetzwerk weiter ausbreiten. Die Cyber Security Agency of Singapore (CSA) warnte bereits im Dezember vor der Gefahr.

Entdeckt wurde die Lücke vom Forscher Chua Meng Han. Der Hersteller SmarterTools lieferte zwar im Oktober 2025 einen Fix mit Build 9413. Doch die öffentliche Warnung und die nun veröffentlichten Exploit-Details setzen Tausende Nachzügler unter Druck.

Warum die Gefahr jetzt akut wird

SmarterMail ist eine beliebte Alternative zu Microsoft Exchange, besonders bei Hosting-Anbietern und mittelständischen Unternehmen. Genau diese Nutzer haben oft begrenzte Sicherheitsressourcen – ein Grund für die schleppende Update-Rate.

Die Lage spitzt sich zu: Seit Montag kursiert ein funktionsfähiger Proof-of-Concept-Exploit öffentlich. Solche Bauanleitungen senken die Einstiegshürde für weniger versierte Angreifer, wie Script-Kiddies oder Ransomware-Affiliate.

Experten befürchten nun eine Welle von Attacken. Ransomware-Gruppen haben E-Mail-Server als lohnende Ziele für Doppel-Erpressung längst erkannt. Ähnlich wie bei der Exchange-Lücke ProxyLogon könnte die aktive Ausbeutung binnen Stunden beginnen.

Was betroffene Unternehmen tun müssen

SmarterTools drängt alle Kunden mit Version Build 9406 oder älter zur sofortigen Aktualisierung. Das Update sei unkompliziert, doch für ungepatchte Systeme sei die Gefahr einer Kompromittierung unmittelbar.

Sicherheitsexperten raten zu weiteren Schritten:
* Server-Logs auf verdächtige Datei-Uploads prüfen
* Nach unerwünschten Prozessen oder Web-Shells suchen
* Zugang zur Administrations-Oberfläche vorübergehend einschränken
* Firewall-Regeln auf vertrauenswürdige IP-Adressen begrenzen

Doch diese Maßnahmen sind nur Notlösungen. Das einzige wirksame Mittel bleibt das Software-Update.

Das größere Problem: Träge Update-Kultur

Der Fall offenbart ein strukturelles Sicherheitsproblem. Selbst bei maximaler Gefahrenstufe und verfügbarem Patch dauert die Umsetzung oft Wochen. Bei durch Drittanbieter verwalteter Infrastruktur oder unterbesetzten IT-Abteilungen werden aus „Zero-Day“-Lücken schnell „Forever-Day“-Probleme.

E-Mail-Server sind besonders sensible Ziele. Sie enthalten vertrauliche Kommunikation, Verträge und Finanzdaten. Ihr Schutz muss oberste Priorität haben. Für die 11.000 noch verwundbaren Organisationen tickt die Uhr. Der Schritt von der theoretischen Schwachstelle zum aktiven Angriff geschieht heute in Stunden – nicht in Tagen.

Übrigens: Die öffentliche Verfügbarkeit eines Proof‑of‑Concepts macht schnellen Schutz unerlässlich. Der Gratis‑Report „Cyber Security Awareness Trends“ fasst aktuelle Bedrohungen, rechtliche Änderungen und vier sofort umsetzbare Maßnahmen zusammen, mit denen mittelständische IT‑Teams Server und Benutzerkonten effektiv schützen können. Ideal für Entscheidungsträger, die jetzt Prioritäten setzen möchten. Gratis‑Report zu Cyber‑Security anfordern