Los expertos en ciberseguridad han descubierto una serie de vulnerabilidades de alto riesgo que afectan a la edición local del software de soporte de TI SysAid.. Estas fallas podrían permitir que atacantes no autenticados... ejecutar código de forma remota con privilegios elevados, potencialmente dándoles control total de los sistemas específicos.
Descripción general de las vulnerabilidades descubiertas
Las lagunas de seguridad, identificado como CVE-2025-2775, CVE-2025-2776, y CVE-2025-2777, Provienen de un manejo inadecuado de la entrada XML, específicamente, Entidades externas XML (XX) vulnerabilidades de inyección. cuando explotados, Las fallas XXE permiten a actores maliciosos manipular cómo un servidor procesa los datos XML.
Según los investigadores Sina Kheirkhah y Jake Knott de watchTowr Labs, dos de los defectos (CVE-2025-2775 y CVE-2025-2776) residir en el punto final /mdm/checkin, mientras que el tercero (CVE-2025-2777) está vinculado al punto final /lshw. Los tres pueden ser objeto de abuso mediante un simple, solicitud HTTP POST no autenticada.
Del acceso a archivos al compromiso total
La explotación exitosa de estas vulnerabilidades podría llevar a la divulgación de archivos confidenciales.. Un ejemplo citado por los investigadores es el acceso al archivo InitAccount.cmd, un archivo de instalación que almacena el nombre de usuario y la contraseña del administrador en texto sin formato.
Con esa información en la mano, Los atacantes podrían iniciar sesión con derechos administrativos, obtener acceso sin restricciones a la plataforma SysAid.
Encadenar vulnerabilidades para un impacto máximo
Preocupantemente, Estos problemas de XXE pueden estar relacionados con una vulnerabilidad de inyección de comandos del sistema operativo no relacionada pero crítica., CVE-2025-2778 asignado. Cuando se combinan, Las fallas permiten a los atacantes no solo leer archivos confidenciales sino también ejecutar comandos arbitrarios en el servidor..
Esto hace que las vulnerabilidades sean especialmente peligrosas para las organizaciones que no han actualizado sus instalaciones de SysAid..
Parches y recomendaciones urgentes
La buena noticia es que SysAid ha abordado los cuatro problemas en su versión local. 24.4.60 b16, que se lanzó a principios de marzo 2025. La prueba de concepto (PoC) Se ha publicado un ataque que demuestra el método de explotación encadenada., Aumentando las apuestas para entornos sin parches.
Dado el historial de vulnerabilidades de SysAid utilizadas en ataques de día cero por grupos de ransomware como Cl0p (en particular CVE-2023-47246), Se recomienda una acción inmediata. Las organizaciones que aún utilizan versiones anteriores deben actualizarlas sin demora para protegerse contra una posible explotación..
La facilidad de explotación y la naturaleza crítica de la información expuesta hacen que estas vulnerabilidades sean una máxima prioridad para los administradores de sistemas.. La aplicación rápida de parches y una revisión exhaustiva de los registros de acceso actuales y las configuraciones del sistema son pasos esenciales para proteger los entornos afectados..