Gli esperti di sicurezza informatica hanno scoperto una serie di vulnerabilità ad alto rischio che interessano l'edizione on-premise del software di supporto IT SysAid. Questi difetti potrebbero consentire ad aggressori non autenticati di eseguire codice da remoto con privilegi elevati, dando loro potenzialmente il pieno controllo dei sistemi presi di mira.
Panoramica delle vulnerabilità scoperte
Le lacune della sicurezza, identificato come CVE-2025-2775, CVE-2025-2776, e CVE-2025-2777, derivano da una gestione impropria dell'input XML, specificamente, XML External Entity (VENTESIMA) vulnerabilità di iniezione. quando sfruttati, Le falle XXE consentono agli attori malintenzionati di manipolare il modo in cui i dati XML vengono elaborati da un server.
Secondo i ricercatori Sina Kheirkhah e Jake Knott di watchTowr Labs, due dei difetti (CVE-2025-2775 e CVE-2025-2776) risiedere nell'endpoint /mdm/checkin, mentre il terzo (CVE-2025-2777) è collegato all'endpoint /lshw. Tutti e tre possono essere abusati utilizzando un semplice, richiesta HTTP POST non autenticata.
Dall'accesso ai file alla compromissione completa
Lo sfruttamento riuscito di queste vulnerabilità potrebbe portare alla divulgazione di file sensibili. Un esempio citato dai ricercatori è l'accesso al file InitAccount.cmd, un file di installazione che memorizza il nome utente e la password dell'amministratore in testo normale.
Con queste informazioni in mano, gli aggressori potrebbero accedere con diritti amministrativi, ottenere accesso illimitato alla piattaforma SysAid.
Concatenamento delle vulnerabilità per il massimo impatto
Preoccupantemente, questi problemi XXE possono essere concatenati con una vulnerabilità di iniezione di comandi del sistema operativo non correlata ma critica, assegnato CVE-2025-2778. Quando combinato, le falle consentono agli aggressori non solo di leggere file sensibili, ma anche di eseguire comandi arbitrari sul server.
Ciò rende le vulnerabilità particolarmente pericolose per le organizzazioni che non hanno aggiornato le proprie installazioni SysAid.
Patch e raccomandazioni urgenti
La buona notizia è che SysAid ha risolto tutti e quattro i problemi nella sua versione on-premise 24.4.60 b16, che è stato rilasciato all'inizio di marzo 2025. La verifica teorica (PoC) è stato pubblicato un attacco che dimostra il metodo di sfruttamento concatenato, aumentare la posta in gioco per gli ambienti non patchati.
Considerata la storia delle vulnerabilità di SysAid utilizzate negli attacchi zero-day da gruppi ransomware come Cl0p (in particolare CVE-2023-47246), si consiglia un'azione immediata. Le organizzazioni che utilizzano ancora versioni precedenti dovrebbero effettuare l'aggiornamento senza indugio per proteggersi da potenziali sfruttamenti.
La facilità di sfruttamento e la natura critica delle informazioni esposte rendono queste vulnerabilità una priorità assoluta per gli amministratori di sistema.. L'applicazione tempestiva delle patch e un'analisi approfondita dei registri di accesso e delle configurazioni di sistema correnti sono passaggi essenziali per proteggere gli ambienti interessati.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: