Cybersicherheitsexperten haben eine Reihe hochriskanter Schwachstellen in der On-Premise-Version der IT-Support-Software SysAid entdeckt.. Diese Schwachstellen könnten es nicht authentifizierten Angreifern ermöglichen, Code remote ausführen mit erhöhten Rechten, ihnen möglicherweise die volle Kontrolle über die Zielsysteme geben.
Übersicht der entdeckten Schwachstellen
Die Sicherheitslücken, identifiziert als CVE-2025-2775, CVE-2025-2776, und CVE-2025-2777, resultieren aus unsachgemäßer Handhabung von XML-Eingaben, speziell, XML External Entity (ZWANZIGSTEN) Injektionsschwachstellen. wenn ausgebeutet, XXE-Fehler ermöglichen es böswilligen Akteuren, die Verarbeitung von XML-Daten durch einen Server zu manipulieren.
Laut den Forschern Sina Kheirkhah und Jake Knott von watchTowr Labs, zwei der Mängel (CVE-2025-2775 und CVE-2025-2776) befinden sich im Endpunkt /mdm/checkin, während der dritte (CVE-2025-2777) ist mit dem /lshw-Endpunkt verknüpft. Alle drei können mit einem einfachen, nicht authentifizierte HTTP-POST-Anforderung.
Vom Dateizugriff bis zur vollständigen Kompromittierung
Die erfolgreiche Ausnutzung dieser Schwachstellen könnte zur Offenlegung sensibler Dateien führen. Ein Beispiel, das die Forscher anführten, ist der Zugriff auf die Datei InitAccount.cmd, eine Installationsdatei, die den Benutzernamen und das Passwort des Administrators im Klartext speichert.
Mit diesen Informationen in der Hand, Angreifer könnten sich mit Administratorrechten anmelden, uneingeschränkten Zugriff auf die SysAid-Plattform erhalten.
Verkettung von Schwachstellen für maximale Wirkung
Beunruhigend, Diese XXE-Probleme können mit einer unabhängigen, aber kritischen Schwachstelle im Betriebssystem verbunden sein, die eine Befehlseingabe ermöglicht., zugewiesen CVE-2025-2778. In Kombination, Die Schwachstellen ermöglichen es Angreifern nicht nur, sensible Dateien zu lesen, sondern auch beliebige Befehle auf dem Server auszuführen.
Dies macht die Schwachstellen besonders gefährlich für Organisationen, die ihre SysAid-Installationen nicht aktualisiert haben.
Patches und dringende Empfehlungen
Die gute Nachricht ist, dass SysAid alle vier Probleme in seiner On-Premise-Version behoben hat 24.4.60 b16, das Anfang März veröffentlicht wurde 2025. A konzeptioneller Beweiß (PoC) Angriff, der die Methode der verketteten Ausnutzung demonstriert, wurde veröffentlicht, Erhöhung der Anforderungen für ungepatchte Umgebungen.
Angesichts der Tatsache, dass SysAid-Schwachstellen in Zero-Day-Angriffen von Ransomware-Gruppen wie Cl0p ausgenutzt wurden (insbesondere CVE-2023-47246), sofortiges Handeln wird empfohlen. Organisationen, die noch ältere Versionen verwenden, sollten unverzüglich ein Upgrade durchführen, um sich vor potenzieller Ausnutzung zu schützen.
Die einfache Ausnutzung und die kritische Natur der offengelegten Informationen machen diese Schwachstellen zu einer Top-Priorität für Systemadministratoren. Schnelles Patchen und eine gründliche Überprüfung der aktuellen Zugriffsprotokolle und Systemkonfigurationen sind wesentliche Schritte zur Sicherung betroffener Umgebungen.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: