Una vulnerabilidad crítica de ejecución remota de código (RCE) en Active! Mail está siendo aprovechada en ataques reales contra grandes organizaciones en Japón. Active! Mail, desarrollado inicialmente por TransWARE y luego adquirido por Qualitia, es un cliente de correo web muy usado en entornos corporativos, gubernamentales y universitarios en el país, con más de 11 millones de cuentas activas.
Este cliente de correo electrónico, desarrollado originalmente por TransWARE y posteriormente adquirido por Qualitia, tiene una fuerte presencia en entornos corporativos, educativos y gubernamentales. Actualmente, más de 11 millones de cuentas en 2,250 organizaciones dependen de este sistema.
¿Qué es Active! Mail?
Active! Mail es un cliente de correo web muy popular dentro de Japón, aunque poco conocido internacionalmente.
Suele emplearse como parte de suites de trabajo colaborativo en universidades, bancos, agencias gubernamentales y grandes empresas, donde el idioma japonés es el principal medio de comunicación.
Su adopción masiva lo convierte en un objetivo atractivo para los ciberatacantes.
Detalles de la vulnerabilidad
La falla, registrada como CVE-2025-42599, tiene una calificación de 9.8 en CVSS, lo que la categoriza como crítica. Esta vulnerabilidad permite que un atacante remoto pueda ejecutar código arbitrario o provocar fallos del servicio (DoS) enviando solicitudes maliciosamente diseñadas.
Todas las versiones hasta BuildInfo: 6.60.05008561 están afectadas, independientemente del sistema operativo donde estén implementadas.
Estado actual
Aunque inicialmente el proveedor informó que estaba investigando posibles abusos, el CERT de Japón ha confirmado que la vulnerabilidad está siendo explotada activamente. Como respuesta, empresas como Kagoya Japan y WADAX decidieron suspender preventivamente sus servicios de correo basados en Active! Mail.
Además, se detectaron al menos 227 servidores expuestos a Internet, muchos pertenecientes a universidades, lo que amplía el alcance del riesgo.
Recomendaciones de seguridad ️
Para mitigar el riesgo, se recomienda actualizar de inmediato a la nueva versión BuildInfo: 6.60.06008562.
Mientras tanto, quienes no puedan aplicar la actualización de forma inmediata deben reforzar su Web Application Firewall (WAF), configurándolo para inspeccionar los cuerpos de las solicitudes HTTP y bloquear aquellas con encabezados multipart/form-data sospechosamente grandes.
El CERT Japón ha detallado pasos específicos de mitigación temporal en su boletín de seguridad.
Además, el proveedor de servicios de Internet IIJ confirmó que sufrió una filtración de datos de clientes debido a la explotación de esta vulnerabilidad, subrayando la gravedad del problema.