Эксперты Positive Technologies помогли устранить 22 уязвимости в системе поддержки пользователей FreeScout

Эксперты PT SWARM Артем Данилов, Роман Черемных и Даниил Сатяев¹ обнаружили 22 уязвимости в модулях FreeScout. Это опенсорсная система технической поддержки клиентов (хелпдеск), совмещенная с почтовым сервисом. Проэксплуатировав дефекты безопасности, нарушитель мог бы похитить учетные данные и развить атаку во внутренней сети организации. Разработчик проекта был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО.

Уязвимостям PT-2025-47937, PT-2025-42833—PT-2025-42853² (BDU:2025-12427, BDU:2025-13045—BDU:2025-13065) было присвоено от 5,3 до 8,7 балла из 10 по шкале CVSS 4.0. Дефекты безопасности содержались в официальных модулях FreeScout, которые пользователи приобретают дополнительно. В числе уязвимых модулей — Saved Replies Module, Live Chat Module и Auto Login Module. С их помощью можно заготовить шаблонные ответы клиентам, общаться с ними в чате на сайте и настроить автоматический вход во FreeScout из электронной почты.

Проэксплуатировать ошибки мог любой пользователь с учетной записью FreeScout — получить ее можно было бы путем перебора паролей. Найденные бреши открывали нарушителю доступ к персональным данным клиентов и учетным данным сотрудников, позволяли перенаправлять пользователей на фишинговые страницы, а также давали возможность развить атаку во внутренней сети.

FreeScout — популярная система технической поддержки. На сентябрь 2025 года она была добавлена в избранное у 3,8 тыс. пользователей на GitHub и имела порядка 600 копий репозитория. Так как уязвимости содержались в дополнительных модулях FreeScout, точно определить масштаб угрозы невозможно. Однако в ходе мониторинга актуальных угроз (threat intelligence) эксперты Positive Technologies установили, что потенциально по всему миру уязвимы по крайней мере 10 тыс. устройств с FreeScout. Большинство из них находятся в США и Германии (по 24%), России (7%), Франции и Великобритании (по 5%).

Для исправления большинства ошибок пользователям необходимо в кратчайшие сроки обновить систему до версии 1.8.186, однако эксперты советуют дополнительно обновить все уязвимые модули, указанные вендором. Если установить исправление невозможно, рекомендуется обновить пароли сотрудников во FreeScout, заменив их на более стойкие. Важно также убедиться, что новых пользователей в приложение может добавлять только администратор.

Артем Данилов

Специалист отдела исследований безопасности банковских систем, Positive Technologies

Самая опасная среди обнаруженных уязвимостей, PT-2025-42842, была связана с небезопасной десериализацией³. Если бы нарушитель, владеющий уникальным ключом приложения, передал на сервер FreeScout вредоносную нагрузку, она была бы обработана без корректной проверки, что позволило бы удаленно выполнить вредоносный код. В конечном счете злоумышленник смог бы получить данные о клиентах, нарушить бизнес-процессы и развить атаку на другие внутренние серверы компании.

Это не первый случай, когда эксперты Positive Technologies помогают укрепить защиту FreeScout. Ранее в этом году Артем Данилов, Роман Черемных, Даниил Сатяев, Артем Дейков, Илья Цатуров и Станислав Глейм обнаружили в версиях системы ниже 1.8.181 уязвимости PT-2025-23148, PT-2025-23171—PT-2025-23174, PT-2025-23177—PT-2025-23179, PT-2025-23242—PT-2025-23250, PT-2025-23255—PT-2025-23258, PT-2025-23263—PT-2025-23265. Бреши могли бы облегчить эксплуатацию недавно обнаруженных 22 ошибок, поэтому пользователи, не установившие исправление из релиза 1.8.182, подвержены особому риску.

Обнаружить ошибки еще на стадии разработки поможет статический анализатор кода, например PT Application Inspector. Продвинутые продукты классов NTA/NDR, такие как PT Network Attack Discovery (PT NAD), позволят детектировать попытки эксплуатации уязвимостей, а продукты класса NGFW, например PT NGFW, заблокируют их. Для блокировки попыток эксплуатации дефектов безопасности эффективно применение межсетевых экранов уровня веб-приложений, к примеру PT Application Firewall (у которого также есть облачная версия — PT Cloud Application Firewall).

Быть в курсе актуальных недостатков безопасности можно на портале dbugs, где аккумулируются данные об уязвимостях в ПО и оборудовании производителей со всего мира, а также рекомендации вендоров по их устранению.

¹ На момент обнаружения уязвимостей в 2025 году.

² Недостатки безопасности зарегистрированы на портале dbugs, на котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира.

³ Десериализация — процесс восстановления объекта из последовательности байтов.

Источник: Positive Technologies