Cybersecurity-experts hebben een reeks kwetsbaarheden met een hoog risico ontdekt die de on-premise editie van SysAid IT-ondersteuningssoftware beïnvloeden. Deze fouten kunnen het voor niet-geverifieerde aanvallers mogelijk maken om code op afstand uitvoeren met verhoogde privileges, waardoor ze mogelijk volledige controle krijgen over de beoogde systemen.
Overzicht van de ontdekte kwetsbaarheden
De beveiligingslekken, geïdentificeerd als CVE-2025-2775, CVE-2025-2776, en CVE-2025-2777, voortkomen uit onjuiste verwerking van XML-invoer, in het bijzonder, XML externe entiteit (TWINTIGSTE) injectiekwetsbaarheden. wanneer uitgebuit, XXE-fouten stellen kwaadwillende actoren in staat om te manipuleren hoe XML-gegevens door een server worden verwerkt.
Volgens onderzoekers Sina Kheirkhah en Jake Knott van watchTowr Labs, twee van de gebreken (CVE-2025-2775 en CVE-2025-2776) bevinden zich in het /mdm/checkin eindpunt, terwijl de derde (CVE-2025-2777) is gekoppeld aan het /lshw eindpunt. Alle drie kunnen worden misbruikt met een simpele, niet-geverifieerde HTTP POST-aanvraag.
Van bestandstoegang tot volledige inbreuk
Succesvolle exploitatie van deze kwetsbaarheden kan leiden tot openbaarmaking van gevoelige bestanden. Een voorbeeld dat de onderzoekers aanhalen, is de toegang tot het bestand InitAccount.cmd, een installatiebestand dat de gebruikersnaam en het wachtwoord van de beheerder in platte tekst opslaat.
Met die informatie in handen, aanvallers konden inloggen met beheerdersrechten, onbeperkte toegang verkrijgen tot het SysAid-platform.
Kwetsbaarheden aan elkaar koppelen voor maximale impact
Zorgwekkend, Deze XXE-problemen kunnen worden gekoppeld aan een niet-gerelateerde maar kritieke kwetsbaarheid voor opdrachtinjectie in het besturingssysteem, toegewezen CVE-2025-2778. Wanneer gecombineerd, de gebreken stellen aanvallers in staat om niet alleen gevoelige bestanden te lezen, maar ook willekeurige opdrachten op de server uit te voeren.
Dit maakt de kwetsbaarheden vooral gevaarlijk voor organisaties die hun SysAid-installaties niet hebben bijgewerkt.
Patches en dringende aanbevelingen
Het goede nieuws is dat SysAid alle vier de problemen in de on-premise versie heeft aangepakt 24.4.60 b16, die begin maart werd uitgebracht 2025. Een proof-of-concept (PoC) Er is een aanval gepubliceerd die de ketenexploitatiemethode demonstreert, de inzet verhogen voor ongepatchte omgevingen.
Gezien de geschiedenis van SysAid-kwetsbaarheden die gebruikt worden in zero-day-aanvallen door ransomware-groepen zoals Cl0p (met name CVE-2023-47246), onmiddellijke actie wordt geadviseerd. Organisaties die nog steeds oudere versies gebruiken, moeten zo snel mogelijk upgraden om zich te beschermen tegen mogelijk misbruik..
Het gemak waarmee ze kunnen worden uitgebuit en het kritieke karakter van de blootgestelde informatie maken deze kwetsbaarheden tot een topprioriteit voor systeembeheerders.. Snelle patching en een grondige herziening van de huidige toegangslogboeken en systeemconfiguraties zijn essentiële stappen voor het beveiligen van de getroffen omgevingen..
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: