Cybersikkerhedseksperter har afdækket en række højrisikosårbarheder, der påvirker den lokale version af SysAid IT-supportsoftware.. Disse fejl kan give uautoriserede angribere mulighed for at fjernudfør kode med forhøjede privilegier, potentielt give dem fuld kontrol over målrettede systemer.
Oversigt over de opdagede sårbarheder
Sikkerhedshullerne, identificeret som CVE-2025-2775, CVE-2025-2776, og CVE-2025-2777, skyldes forkert håndtering af XML-input, specifikt, Eksterne XML-enheder (TYVENDE) injektionssårbarheder. Når udnyttet, XXE-fejl tillader ondsindede aktører at manipulere, hvordan XML-data behandles af en server.
Ifølge forskerne Sina Kheirkhah og Jake Knott fra watchTowr Labs, to af fejlene (CVE-2025-2775 og CVE-2025-2776) befinder sig i /mdm/checkin-slutpunktet, mens den tredje (CVE-2025-2777) er knyttet til /lshw-slutpunktet. Alle tre kan misbruges ved hjælp af en simpel, uautoriseret HTTP POST-anmodning.
Fra filadgang til fuld kompromis
Succesfuld udnyttelse af disse sårbarheder kan føre til afsløring af følsomme filer. Et eksempel, som forskerne nævner, er adgang til InitAccount.cmd-filen, en installationsfil, der gemmer administratorens brugernavn og adgangskode i klartekst.
Med den information i hånden, angribere kunne logge ind med administratorrettigheder, opnå ubegrænset adgang til SysAid-platformen.
Kædning af sårbarheder for maksimal effekt
Bekymrende, Disse XXE-problemer kan være kædet sammen med en uafhængig, men kritisk sårbarhed i kommandoinjektion i operativsystemet, tildelt CVE-2025-2778. Når det kombineres, Fejlene gør det muligt for angribere ikke kun at læse følsomme filer, men også at udføre vilkårlige kommandoer på serveren..
Dette gør sårbarhederne særligt farlige for organisationer, der ikke har opdateret deres SysAid-installationer..
Programrettelser og presserende anbefalinger
Den gode nyhed er, at SysAid har adresseret alle fire problemer i sin on-premise version. 24.4.60 b16, som blev udgivet i starten af marts 2025. A proof-of-concept (PoC) Angreb, der demonstrerer den kædede udnyttelsesmetoden, er blevet offentliggjort, øger indsatsen for ikke-patchede miljøer.
I betragtning af historien om SysAid-sårbarheder, der er blevet brugt i zero-day-angreb af ransomware-grupper som Cl0p (især CVE-2023-47246), øjeblikkelig handling anbefales. Organisationer, der stadig bruger ældre versioner, bør opgradere uden forsinkelse for at beskytte mod potentiel udnyttelse..
Den nemme udnyttelse og den kritiske karakter af de eksponerede oplysninger gør disse sårbarheder til en topprioritet for systemadministratorer.. Hurtig programrettelse og en grundig gennemgang af aktuelle adgangslogfiler og systemkonfigurationer er vigtige skridt i retning af at sikre berørte miljøer..
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: