Lỗ hổng “Mail2Shell” cho phép chiếm quyền máy chủ FreeScout chỉ bằng một email

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
128
1.653 bài viết
Lỗ hổng “Mail2Shell” cho phép chiếm quyền máy chủ FreeScout chỉ bằng một email
WhiteHat Team
Một lỗ hổng nghiêm trọng vừa được phát hiện trong nền tảng helpdesk mã nguồn mở FreeScout, cho phép tin tặc chiếm quyền điều khiển máy chủ chỉ bằng cách gửi một email độc hại. Đáng chú ý, cuộc tấn công có thể diễn ra mà không cần đăng nhập và cũng không cần bất kỳ thao tác nào từ phía người dùng.
1772707001820.png

Lỗ hổng được định danh CVE-2026-28289 và được đánh giá ở mức nguy hiểm tối đa do cho phép thực thi mã từ xa. Theo các nhà nghiên cứu, kẻ tấn công chỉ cần gửi một email được tạo đặc biệt tới bất kỳ địa chỉ hộp thư nào đang được cấu hình trong FreeScout. Email này chứa tệp đính kèm độc hại. Khi hệ thống tự động xử lý thư đến, tệp sẽ được lưu vào máy chủ và có thể bị kích hoạt để thực thi lệnh từ xa. Vì toàn bộ quá trình diễn ra tự động, hình thức này được xếp vào nhóm tấn công “zero-click” tức nạn nhân không cần mở tệp hay nhấp vào liên kết.

Đi sâu hơn về mặt kỹ thuật, lỗ hổng mới thực chất là cách vượt qua bản vá của một lỗi RCE trước đó là CVE-2026-27636. Trong bản vá cũ, hệ thống đã cố gắng ngăn việc tải lên các tệp nguy hiểm bằng cách kiểm tra đuôi tệp và chặn các tệp bắt đầu bằng dấu chấm thường là các tệp cấu hình ẩn trên máy chủ.

Tuy nhiên, cơ chế này vẫn có thể bị qua mặt. Các nhà nghiên cứu phát hiện tin tặc có thể chèn một ký tự Unicode “zero-width space” (U+200B), ký tự vô hình vào trước tên tệp. Do ký tự này không hiển thị nên cơ chế kiểm tra không nhận diện được. Khi tệp được xử lý tiếp theo, ký tự vô hình bị loại bỏ, khiến tệp vẫn được lưu dưới dạng dotfile độc hại.

Một ví dụ điển hình là tệp .htaccess, cho phép thay đổi cấu hình của máy chủ web Apache HTTP Server. Nếu tệp này được tải lên thành công, kẻ tấn công có thể thay đổi cấu hình máy chủ và thực thi mã tùy ý.

Theo thiết kế của hệ thống, FreeScout lưu các tệp đính kèm email trong thư mục /storage/attachment/. Sau khi tệp độc hại được tải lên, tin tặc có thể truy cập nó qua giao diện web để kích hoạt payload. Khi đó, máy chủ có thể bị chiếm quyền hoàn toàn, dẫn tới nguy cơ đánh cắp dữ liệu hỗ trợ khách hàng, xâm nhập sâu hơn vào mạng nội bộ hoặc làm gián đoạn dịch vụ.

FreeScout hiện được nhiều doanh nghiệp sử dụng để quản lý email hỗ trợ khách hàng, thường triển khai theo mô hình tự lưu trữ (self-hosted) như một lựa chọn thay thế cho Zendesk hoặc Help Scout. Dữ liệu từ Shodan cho thấy khoảng 1.100 máy chủ FreeScout đang công khai trên Internet cho thấy bề mặt tấn công không nhỏ.

Lỗ hổng ảnh hưởng tới tất cả phiên bản FreeScout đến 1.8.206 và đã được vá trong phiên bản 1.8.207. Các chuyên gia khuyến nghị quản trị viên cần cập nhật ngay lập tức, đồng thời vô hiệu hóa tùy chọn AllowOverrideAll trong cấu hình Apache HTTP Server để giảm rủi ro.

Hiện chưa ghi nhận dấu hiệu lỗ hổng bị khai thác, tuy nhiên, do cách thức tấn công đơn giản chỉ cần gửi một email, nguy cơ bị tin tặc lợi dụng trong thời gian tới được đánh giá là rất cao.
Theo Bleeping Computer
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Khai thác lỗ hổng router Tenda và nền tảng n8n để chiếm quyền thiết bị
  • Cisco vá hai lỗ hổng nghiêm trọng trong Secure FMC, cho phép chiếm quyền root từ xa
  • Cảnh báo lừa đảo chốt đơn online qua Zalo: Chủ mất khách, còn khách mất tiền!
  • Lộ diện CyberStrikeAI - nền tảng AI được sử dụng trong chiến dịch quét FortiGate tại 55 quốc gia
  • 60.000 website WordPress có thể bị chiếm quyền vì lỗ hổng CVE-2026-1492
  • PoC CVE-2026-20817: Lỗ hổng leo thang đặc quyền trên Windows có thể chiếm quyền SYSTEM
    • Thẻ
    cve-2026-28289 email freescout mail2shell
    Bên trên