Mail2Shell Zero-Click Attack lets Hackers Hijack FreeScout Mail Servers
2026/03/05 CyberSecurityNews — FreeScout に存在する、深刻なゼロクリック脆弱性が発見された。Mail2Shell と名付けられた、この脆弱性 CVE-2026-28289 を悪用する攻撃者は、ユーザー操作や認証を必要とせずに、サーバを乗っ取ることが可能になる。つまり、このオープンソースのヘルプデスク/共有メールボックスのユーザーは、きわめて危険な状況にある。
2026年2月にも、FreeScout のリモート・コード実行 (RCE) 脆弱性 CVE-2026-27636 が修正されているが、今回の脆弱性を悪用する攻撃者は、その修正を回避し、認証不要のゼロクリック攻撃へと昇格させるという。
ゼロクリック攻撃へのエスカレーション経路
前述のとおり、FreeScout が認証済み RCE の脆弱性 CVE-2026-27636 を修正してから数日後に、不完全な修正を回避する方法がセキュリティ・アナリストたちにより発見された。元のパッチは、特定の拡張子を持つファイルと、ピリオドで始まるファイル名に対してアンダースコアを追加することで、危険なファイル・アップロードの防止を試みた。
しかし、ファイル名の先頭に Zero-Width Space 文字 (Unicode U+200B) を付加することで、この検証を容易に回避できることが判明した。このシステムでは、初期のセキュリティ・チェック時に、この不可視文字を可視コンテンツとして扱わないため、不適切なファイルであってもフィルタを通過する。その後の処理過程で、サーバ は U+200B を削除するため、結果としてペイロードを含む危険なドット・ファイルが残る。
この欠陥を突く攻撃者は、悪意のペイロードを取り込んだメールを、FreeScout サーバ に接続された任意のアドレスへ送信する。そのファイルは、予測可能なディレクトリ ( /storage/attachment/… ) に、システムにより自動保存される。そのため、攻撃者は、Web インターフェイス経由でペイロードにアクセスし、即座にリモート・コマンドを実行できる。この一連の攻撃は、認証が不要であり、ユーザー操作も必要としない。
影響と対応策
FreeScout は、公衆衛生機関/金融プラットフォーム/テクノロジー企業によるカスタマー・サポート管理に広く利用されている。それらのシステムは、Laravel PHP フレームワーク 上に構築されており、 1,100 を超える公開インスタンスが存在するため、脅威アクターにとって極めて魅力的な標的となっている。
OX Security の研究者によると、この Mail2Shell 脆弱性 が悪用された場合には、 サーバの完全な乗っ取りに至る可能性があるという。攻撃者たちは、ヘルプデスク・チケットを流出させ、顧客受信箱データを窃取し、侵害したホストを足掛かりに組織ネットワーク内を横移動できる。
すでに FreeScout のメンテナーたちは、迅速に version 1.8.207 をリリースし、この派生攻撃経路を封鎖している。管理者にとって必要なことは、このアップデートを速やかに適用することである。脆弱性 CVE-2026-27636 に対応する旧パッチでは、このゼロクリック権限昇格の攻撃は防御できない。
今回の脆弱性である CVE-2026-28289 は、 FreeScout のファイル・アップロード時における検証プロセスの不備に起因するものです。以前の修正で導入されたファイル名のチェックは、不可視文字であるゼロ幅スペースを用いる戦術で、巧妙に回避できてしまうところに問題の核心があります。この特殊な文字が、フィルタリングをすり抜けた後にシステム内で削除されることで、結果として制限されていたはずの危険なファイルが保存されてしまいます。メールを受信するだけでプログラムが実行されるゼロクリック攻撃につながるため、認証を持たない外部の攻撃者であっても、サーバを操作できるというリスクが生じます。最新版の version 1.8.207 への更新を急いでください。
IoT OT Security News 
You must be logged in to post a comment.