セキュリティ研究者は、ユーザーの操作を必要とせずに完全なシステム侵害を実現できる最大重大度のリモートコード実行(RCE)脆弱性にパッチを当てるよう、FreeScoutの顧客に促しています。
CVE‑2026‑28289(Mail2Shell)は、Ox Securityによると、オープンソースヘルプデスクプラットフォーム内の以前の脆弱性(CVE-2026-27636)のバイパスであり、認証されたアタッカーが対象システムをハイジャックできる可能性があります。
「パッチのバイパスを発見し、新たに更新されたサーバーで同じRCEを再現することができました。これにより、不完全な修正がいかに迅速に回避されるかを実証しています」とセキュリティベンダーはブログ投稿で説明しました。
「さらなる分析により、攻撃チェーンをさらにエスカレートさせ、ゼロクリックRCEに変換しました。FreeScoutで設定されたアドレスに単一の細工されたメールを送信することで、アタッカーは認証なしでユーザー操作なしにサーバー上でコードを実行できます。」
CVSS 10.0脆弱性について詳細を読む:Claude Desktop Extensionsの新しいゼロクリック脆弱性、Anthropicが修正を拒否。
Ox Securityは、数千の顧客が危険にさらされている可能性があると主張しています。FreeScoutは4000以上のGitHubスターを持ち、Shodanで識別された約1100の公開インスタンスがあると述べています。FreeScoutがベースとしているPHPベースのLaravelフレームワークはさらに広く採用されており、83,000以上のGitHubスターと約13,000の公開サーバーを持っていると付け加えています。
影響と次のステップ
フルサーバー/システム乗っ取りにより、アタッカーはヘルプデスクチケット、メールボックス、およびFreeScoutに保存されたその他のデータから情報を盗むことができます。また、FreeScoutからネットワーク上の他のシステムに横方向に移動することもできます。
Ox Securityは、FreeScoutの顧客に対してv1.8.207以降にすぐにアップグレードするよう促し、最新バージョンの場合でも、FreeScoutサーバーのApache設定でAllowOverrideAllを常に無効にするよう促しています。
不正または不完全なパッチに関連する問題はよく文書化されています。
2021年に、GoogleのProject Zeroは、前年に発見されたゼロデイエクスプロイトの最大4分の1がベンダーがより体系的で包括的なパッチ適用アプローチを採用していたら回避できた可能性があると述べています。
完全な90日間の開示ポリシーへの移行決定は、ベンダーが根本原因と変種分析を実行するためのより多くの時間を確保することを目的としていました。
2022年、Trend MicroのZero Day Initiative(ZDI)も業界全体にわたるパッチ品質の低さについて不満を述べ、不正なアップデートごとに顧客に400,000ドル以上の損失をもたらす可能性があると警告しました。
パッチの品質とベンダーと顧客の間のコミュニケーションの両方の低下に言及しました。
Ox Securityは、脅威アクターが新しい攻撃パスを探すために「開示後数時間以内にパッチをdiff、修正をプローブし、変種の悪用パスを検索する」と述べています。過去には、成熟したオープンソースプロジェクトおよびリソースが豊富なベンダーでさえ不十分なことが判明しています。
翻訳元: https://www.infosecurity-magazine.com/news/zeroclick-freescout-bug-remote/
