Positive Technologies помогли закрыть 22 бреши в системе поддержки FreeScout

Специалисты Positive Technologies обнаружили и помогли устранить 22 уязвимости в системе поддержки пользователей FreeScout. В ходе исследования эксперты PT SWARM Артём Данилов, Роман Черемных и Даниил Сатяев нашли дефекты безопасности в модулях этой системы. FreeScout — это система технической поддержки клиентов с открытым исходным кодом, которая совмещена с почтовым сервисом. Злоумышленник мог бы воспользоваться уязвимостями, чтобы похитить учётные данные и распространить атаку во внутренней сети организации. Разработчик проекта был проинформирован об угрозе в соответствии с политикой ответственного разглашения и выпустил обновление программного обеспечения. Найденным уязвимостям PT-2025-47937, PT-2025-42833–PT-2025-42853 (BDU:2025-12427, BDU:2025-13045–BDU:2025-13065) была присвоена оценка от 5,3 до 8,7 балла из 10 по шкале CVSS 4.0. Дефекты содержались в официальных модулях FreeScout, которые пользователи приобретают дополнительно. Среди уязвимых модулей — Saved Replies Module, Live Chat Module и Auto Login Module, позволяющие готовить шаблонные ответы клиентам, общаться с ними в чате на сайте и настраивать автоматический вход во FreeScout из электронной почты. Любой пользователь с учётной записью FreeScout мог бы воспользоваться ошибками. Учётную запись можно было бы получить путём перебора паролей. Найденные уязвимости предоставляли нарушителю доступ к персональным данным клиентов и учётным данным сотрудников, позволяли перенаправлять пользователей на фишинговые страницы и давали возможность распространить атаку во внутренней сети. FreeScout является популярной системой технической поддержки. На сентябрь 2025 года она была добавлена в избранное у 3,8 тысяч пользователей на GitHub и имела около 600 копий репозитория. Поскольку уязвимости содержались в дополнительных модулях FreeScout, точно определить масштаб угрозы сложно. Однако эксперты Positive Technologies установили, что потенциально уязвимы по крайней мере 10 тысяч устройств с FreeScout по всему миру. Большинство из них находятся в США и Германии (по 24%), России (7%), Франции и Великобритании (по 5%). Для исправления большинства ошибок пользователям необходимо как можно скорее обновить систему до версии 1.8.186. Эксперты также рекомендуют дополнительно обновить все уязвимые модули, указанные вендором. Если установка исправления невозможна, рекомендуется обновить пароли сотрудников во FreeScout, заменив их на более надёжные. Также важно убедиться, что новых пользователей в приложение может добавлять только администратор. По словам Артёма Данилова, специалиста отдела исследований безопасности банковских систем Positive Technologies, самая опасная из обнаруженных уязвимостей, PT-2025-42842, была связана с небезопасной десериализацией. Если бы нарушитель, владеющий уникальным ключом приложения, передал на сервер FreeScout вредоносную нагрузку, она была бы обработана без корректной проверки, что позволило бы удалённо выполнить вредоносный код. В результате злоумышленник мог бы получить данные о клиентах, нарушить бизнес-процессы и распространить атаку.