Netcrook Logo
👤 KERNELWATCHER
🗓️ 04 Mar 2026  

Minaccia invisibile: server FreeScout messi a nudo da un exploit zero-click

Un subdolo trucco Unicode ha lasciato migliaia di server helpdesk spalancati agli attaccanti - nessun clic, nessun login richiesto.

A prima vista, il mondo dei software per l’assistenza clienti difficilmente sembra un punto caldo per il cybercrimine. Ma le recenti rivelazioni su una devastante vulnerabilità di FreeScout hanno mandato onde d’urto tra i team IT di tutto il mondo. Con un colpo di scena, i ricercatori hanno scoperto un attacco zero-click che consente agli hacker di prendere il controllo totale dei server FreeScout - senza nemmeno bisogno di una password o dell’interazione dell’utente. Il colpevole? Un carattere quasi invisibile che scivola oltre le difese, lasciando esposti dati sensibili dell’helpdesk e intere reti a rischio.

L’anatomia di un incubo zero-click

La vulnerabilità al centro di questa crisi è tracciata come CVE-2026-28289 - una falla così grave da ottenere un punteggio perfetto di 10 nella scala CVSS. La storia è iniziata con un bug più ordinario: il meccanismo di caricamento file di FreeScout non riusciva a bloccare alcuni file pericolosi, come quelli che iniziano con un punto (ad esempio “.htaccess”), che potevano essere usati per attacchi lato server. Gli sviluppatori hanno corretto il problema filtrando i nomi dei file, ma la fix aveva una svista fatale.

I ricercatori di sicurezza di Ox Security hanno scoperto che, inserendo di nascosto uno spazio a larghezza zero (Unicode U+200B) davanti a un nome file malevolo, gli attaccanti potevano ingannare il sistema. Il carattere invisibile superava la validazione, per poi essere rimosso prima che il file venisse salvato - lasciando sul disco del server un file pericoloso ed eseguibile. Questo sottile hack Unicode ha trasformato una vulnerabilità “patchata” in un vettore di esecuzione di codice da remoto zero-click e non autenticato.

Nessun tocco, nessuna traccia

A differenza di molti attacchi che richiedono phishing, ingannare gli utenti o credenziali rubate, questo exploit è agghiacciantemente semplice. Un attaccante può inviare un’email appositamente costruita a qualsiasi casella di posta collegata a FreeScout. Il file malevolo viene scritto direttamente sul server, dove può essere attivato per eseguire comandi da remoto - senza diritti di amministratore né azioni da parte dell’utente. Da lì, gli attaccanti possono esfiltrare corrispondenza sensibile dell’helpdesk, email interne e persino lanciare ulteriori attacchi contro l’infrastruttura aziendale.

I manutentori di FreeScout hanno confermato che tutte le versioni fino alla 1.8.206 sono esposte se in esecuzione su Apache con la comune impostazione “AllowOverride All”. L’unica difesa efficace è aggiornare immediatamente alla versione 1.8.207. Per le organizzazioni che si affidano a FreeScout, il messaggio è chiaro: applicate la patch ora, o rischiate una compromissione totale.

Conclusione: il pericolo in bella vista

Questo incidente è un duro promemoria del fatto che anche la più piccola svista - come un carattere invisibile - può avere conseguenze catastrofiche nella cybersecurity. Man mano che gli attaccanti diventano sempre più creativi, i difensori devono scrutinare ogni riga di codice e ogni patch. Nel mondo dell’open source, dove fiducia e trasparenza sono profonde, basta un solo varco invisibile per far crollare l’intero sistema.

WIKICROOK

  • Esecuzione di codice da remoto (RCE): L’esecuzione di codice da remoto (RCE) si verifica quando un attaccante esegue il proprio codice sul sistema della vittima, spesso arrivando al controllo completo o alla compromissione di quel sistema.
  • Zero: Una vulnerabilità zero-day è una falla di sicurezza nascosta, sconosciuta al produttore del software, senza una correzione disponibile, il che la rende altamente preziosa e pericolosa per gli attaccanti.
  • Unicode Zero: Unicode Zero è un carattere Unicode invisibile usato per manipolare testo o nomi di file, spesso sfruttato nella cybersecurity per eludere il rilevamento o confondere i sistemi.
  • Tempo: Il tempo nella cybersecurity significa registrare quando avvengono gli eventi, consentendo l’analisi dei pattern di attività e il rilevamento di comportamenti sospetti o non autorizzati.
  • Dotfile: Un dotfile è un file nascosto che inizia con un punto, usato per la configurazione e talvolta preso di mira dagli attaccanti per scopi malevoli.
FreeScout Zero-Click Cybersecurity
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news