Các nhà nghiên cứu đã phát hiện một lỗ hổng zero-day nghiêm trọng, không yêu cầu tương tác (zero-click), trong FreeScout, một ứng dụng quản lý yêu cầu hỗ trợ và hộp thư chia sẻ mã nguồn mở được sử dụng rộng rãi. Lỗ hổng này, được đặt tên là “Mail2Shell”, cho phép kẻ tấn công chiếm quyền kiểm soát máy chủ thư điện tử mà không cần bất kỳ tương tác hoặc xác thực nào từ người dùng. Sự xuất hiện của lỗ hổng zero-day này đặc biệt đáng lo ngại vì khả năng khai thác dễ dàng và tác động nghiêm trọng.

Được theo dõi dưới mã CVE-2026-28289, lỗ hổng “Mail2Shell” đã bỏ qua một bản vá gần đây cho một lỗ hổng thực thi mã từ xa (RCE) đã được vá. Điều này đã làm leo thang tình trạng từ một RCE cần xác thực thành một cuộc tấn công zero-click không cần xác thực.

Phân Tích Kỹ Thuật Lỗ Hổng CVE-2026-28289 “Mail2Shell”

Lỗ hổng CVE-2026-28289 là một lỗ hổng thực thi mã từ xa (remote code execution) không cần xác thực và không yêu cầu tương tác, ảnh hưởng đến FreeScout. Đây là một biến thể tấn công đã bỏ qua các biện pháp bảo vệ được triển khai sau khi một lỗ hổng RCE có xác thực trước đó (CVE-2026-27636) được phát hiện và vá.

Tính chất “zero-click” và “không xác thực” của lỗ hổng này làm tăng đáng kể mức độ rủi ro. Điều này cho phép kẻ tấn công thực hiện các lệnh độc hại trên máy chủ mà không cần bất kỳ quyền truy cập hợp lệ nào hoặc sự tương tác của người dùng mục tiêu.

Việc phát hiện ra lỗ hổng zero-day này một lần nữa nhấn mạnh tầm quan trọng của việc kiểm tra bảo mật kỹ lưỡng và liên tục đối với các bản vá.

Cơ Chế Bỏ Qua Bản Vá (Patch Bypass Technique)

Chỉ vài ngày sau khi FreeScout phát hành bản vá cho CVE-2026-27636, các nhà phân tích bảo mật đã nhanh chóng tìm ra một phương pháp để vượt qua bản sửa lỗi này. Bản vá gốc được thiết kế để chặn các tệp tải lên nguy hiểm bằng cách thêm dấu gạch dưới vào các tệp có phần mở rộng bị hạn chế hoặc những tệp có tên bắt đầu bằng dấu chấm (dotfiles).

Tuy nhiên, cơ chế bảo vệ này không hoàn toàn hiệu quả. Kẻ tấn công có thể dễ dàng né tránh quá trình xác thực bằng cách thêm một ký tự khoảng trắng không hiển thị (Zero-Width Space character – Unicode U+200B) vào đầu tên tệp độc hại.

Ví dụ, thay vì tải lên một tệp có tên như .htaccess hoặc shell.php, kẻ tấn công sẽ sử dụng tên tệp là U+200B.htaccess hoặc U+200Bshell.php.

Trong quá trình kiểm tra bảo mật ban đầu, hệ thống không nhận diện ký tự U+200B là nội dung hiển thị hoặc là một phần của tên tệp nguy hiểm. Do đó, tệp độc hại sẽ vượt qua bộ lọc một cách không bị phát hiện.

Sau đó, trong các giai đoạn xử lý tiếp theo của máy chủ, ký tự U+200B sẽ bị loại bỏ tự động. Điều này làm cho tệp payload trở thành một dotfile nguy hiểm hợp lệ, hoặc một tệp có phần mở rộng thực thi như .htaccess hoặc .php, sẵn sàng để thực thi mã.

Chuỗi Khai Thác (Exploitation Chain)

Quá trình khai thác lỗ hổng Mail2Shell được thực hiện thông qua một chuỗi các bước tinh vi nhưng đơn giản, tận dụng tính chất tự động của hệ thống xử lý email:

• Kẻ tấn công soạn và gửi một email được tạo đặc biệt, chứa payload độc hại, đến bất kỳ địa chỉ email nào được liên kết với máy chủ FreeScout.
• Hệ thống FreeScout tự động xử lý email đến và ghi tệp đính kèm độc hại vào đĩa. Vị trí ghi tệp thường nằm trong một thư mục có thể dự đoán được, chẳng hạn như /storage/attachment/…, là một phần của cấu trúc thư mục của ứng dụng.
• Sau khi tệp đã được ghi vào đĩa và ký tự U+200B bị loại bỏ, kẻ tấn công có thể truy cập payload thông qua giao diện web của FreeScout hoặc thông qua một yêu cầu HTTP trực tiếp đến vị trí tệp.
• Bằng cách điều hướng đến URL của tệp độc hại, kẻ tấn công có thể thực thi các lệnh từ xa trên máy chủ ngay lập tức, hoàn tất quá trình remote code execution.

Toàn bộ chuỗi tấn công này không yêu cầu bất kỳ hình thức xác thực nào và hoàn toàn không cần sự tương tác từ phía nạn nhân, làm cho nó trở thành một lỗ hổng zero-day cực kỳ nguy hiểm, cho phép chiếm quyền điều khiển hệ thống một cách im lặng.

Tác Động và Phạm Vi Ảnh Hưởng của Remote Code Execution

FreeScout là một ứng dụng quan trọng, được sử dụng rộng rãi bởi nhiều tổ chức trên toàn cầu. Các đối tượng sử dụng bao gồm các tổ chức y tế công cộng, nền tảng tài chính và các nhà cung cấp công nghệ. Họ dựa vào FreeScout để quản lý các yêu cầu hỗ trợ khách hàng và giao tiếp nội bộ. Việc phát hiện lỗ hổng zero-day này đặt ra mối đe dọa đáng kể cho hàng ngàn triển khai FreeScout.

Ứng dụng này được xây dựng trên nền tảng Laravel PHP framework. Hiện có hơn 1.100 phiên bản FreeScout được công khai trên internet, khiến chúng trở thành những mục tiêu hấp dẫn cho các tác nhân đe dọa muốn thực hiện các cuộc tấn công mạng.

Theo báo cáo từ các nhà nghiên cứu tại OX Security, nếu lỗ hổng Mail2Shell bị khai thác thành công, nó có thể dẫn đến việc chiếm quyền điều khiển hoàn toàn máy chủ bị ảnh hưởng. Điều này mang lại cho kẻ tấn công quyền kiểm soát toàn diện đối với hệ thống, mở ra nhiều khả năng tấn công sâu rộng.

Những tác động tiềm tàng của việc khai thác lỗ hổng remote code execution này là rất nghiêm trọng:

• Rò rỉ dữ liệu nhạy cảm: Kẻ tấn công có thể dễ dàng đánh cắp và đánh cắp các dữ liệu nhạy cảm từ các phiếu hỗ trợ khách hàng, bao gồm thông tin cá nhân của người dùng, chi tiết tài khoản, và các trao đổi bảo mật.
• Đánh cắp dữ liệu hộp thư đến: Dữ liệu từ các hộp thư đến của khách hàng cũng có thể bị đánh cắp, dẫn đến việc lộ thông tin liên lạc quan trọng, bí mật kinh doanh, và thông tin xác thực.
• Di chuyển ngang và tấn công chuỗi cung ứng: Máy chủ bị xâm nhập có thể được sử dụng làm bàn đạp để di chuyển ngang (lateral movement) trong mạng lưới nội bộ của tổ chức. Điều này cho phép kẻ tấn công tiếp cận các hệ thống khác và mở rộng phạm vi tấn công, thậm chí có thể dẫn đến các cuộc tấn công chuỗi cung ứng nếu FreeScout được sử dụng trong môi trường cung cấp dịch vụ.
• Thiệt hại về danh tiếng và tài chính: Việc rò rỉ dữ liệu và gián đoạn dịch vụ có thể gây ra thiệt hại nghiêm trọng về uy tín, niềm tin của khách hàng và các khoản phạt tài chính đáng kể cho tổ chức.

Biện Pháp Khắc Phục và Cập Nhật Bảo Mật Khẩn Cấp

Trước nguy cơ nghiêm trọng từ lỗ hổng CVE-2026-28289, các nhà phát triển FreeScout đã phản ứng nhanh chóng. Họ đã phát hành phiên bản 1.8.207 để khắc phục triệt để đường tấn công biến thể này. Bản cập nhật này chứa các cải tiến về xác thực tệp và cơ chế lọc để ngăn chặn việc sử dụng ký tự U+200B và các kỹ thuật tương tự.

Để bảo vệ hệ thống khỏi cuộc tấn công này và ngăn chặn nguy cơ chiếm quyền điều khiển máy chủ, các quản trị viên phải áp dụng bản vá bảo mật này ngay lập tức. Điều quan trọng cần lưu ý là các bản vá cũ hơn cho lỗ hổng CVE-2026-27636 sẽ không bảo vệ hệ thống khỏi sự leo thang zero-click của lỗ hổng Mail2Shell. Việc trì hoãn cập nhật có thể khiến hệ thống tiếp tục dễ bị tổn thương và đối mặt với nguy cơ bị khai thác bởi các lỗ hổng zero-day.

Các tổ chức nên xem xét lại cấu hình bảo mật của mình một cách toàn diện, đặc biệt là các quy tắc lọc tệp đính kèm và kiểm soát quyền truy cập vào các thư mục chứa tệp tải lên. Đồng thời, việc theo dõi nhật ký hệ thống để phát hiện các dấu hiệu bất thường liên quan đến quá trình xử lý email và tải tệp cũng là một biện pháp phòng ngừa cần thiết để bảo vệ chống lại các hình thức khai thác lỗ hổng zero-day tương tự trong tương lai.