Les experts en cybersécurité ont découvert une série de vulnérabilités à haut risque affectant l'édition sur site du logiciel de support informatique SysAid. Ces failles pourraient permettre à des attaquants non authentifiés de exécuter du code à distance avec des privilèges élevés, leur donnant potentiellement le contrôle total des systèmes ciblés.
Aperçu des vulnérabilités découvertes
Les failles de sécurité, identifié comme CVE-2025-2775, CVE-2025-2776, et CVE-2025-2777, proviennent d'une mauvaise gestion des entrées XML, spécifiquement, XML Entité externe (XXE) vulnérabilités d'injection. lorsque exploité, Les failles XXE permettent aux acteurs malveillants de manipuler la manière dont les données XML sont traitées par un serveur.
Selon les chercheurs Sina Kheirkhah et Jake Knott de watchTowr Labs, deux des défauts (CVE-2025-2775 et CVE-2025-2776) résider dans le point de terminaison /mdm/checkin, tandis que le troisième (CVE-2025-2777) est lié au point de terminaison /lshw. Les trois peuvent être abusés en utilisant un simple, requête HTTP POST non authentifiée.
De l'accès aux fichiers au compromis total
L’exploitation réussie de ces vulnérabilités pourrait conduire à la divulgation de fichiers sensibles.. Un exemple cité par les chercheurs est l’accès au fichier InitAccount.cmd, un fichier d'installation qui stocke le nom d'utilisateur et le mot de passe de l'administrateur en texte clair.
Avec ces informations en main, les attaquants pourraient se connecter avec des droits d'administrateur, obtenir un accès illimité à la plateforme SysAid.
Enchaîner les vulnérabilités pour un impact maximal
De façon inquiétante, ces problèmes XXE peuvent être liés à une vulnérabilité d'injection de commande du système d'exploitation sans rapport mais critique, attribué CVE-2025-2778. Lorsqu'ils sont combinés, les failles permettent aux attaquants non seulement de lire des fichiers sensibles mais également d'exécuter des commandes arbitraires sur le serveur.
Cela rend les vulnérabilités particulièrement dangereuses pour les organisations qui n'ont pas mis à jour leurs installations SysAid..
Correctifs et recommandations urgentes
La bonne nouvelle est que SysAid a résolu ces quatre problèmes dans sa version sur site 24.4.60 b16, qui a été publié début mars 2025. Une preuve de concept (PoC) une attaque démontrant la méthode d'exploitation en chaîne a été publiée, augmenter les enjeux pour les environnements non corrigés.
Compte tenu de l'historique des vulnérabilités SysAid utilisées dans les attaques zero-day par des groupes de ransomware comme Cl0p (notamment CVE-2023-47246), une action immédiate est conseillée. Les organisations qui utilisent encore des versions plus anciennes doivent procéder à une mise à niveau sans délai pour se protéger contre toute exploitation potentielle..
La facilité d’exploitation et la nature critique des informations exposées font de ces vulnérabilités une priorité absolue pour les administrateurs système.. Une mise à jour rapide des correctifs et un examen approfondi des journaux d'accès et des configurations système actuels sont des étapes essentielles pour sécuriser les environnements affectés..
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: