Especialistas em segurança cibernética descobriram uma série de vulnerabilidades de alto risco que afetam a edição local do software de suporte de TI SysAid. Essas falhas podem permitir que invasores não autenticados executar código remotamente com privilégios elevados, potencialmente dando-lhes controle total dos sistemas alvos.
Visão geral das vulnerabilidades descobertas
As brechas de segurança, identificado como CVE-2025-2775, CVE-2025-2776, e CVE-2025-2777, decorrem do manuseio impróprio da entrada XML, especificamente, Entidade Externa XML (XX) vulnerabilidades de injeção. Quando explorado, As falhas do XXE permitem que agentes maliciosos manipulem como os dados XML são processados por um servidor.
De acordo com os pesquisadores Sina Kheirkhah e Jake Knott do watchTowr Labs, duas das falhas (CVE-2025-2775 e CVE-2025-2776) residem no endpoint /mdm/checkin, enquanto o terceiro (CVE-2025-2777) está vinculado ao ponto de extremidade /lshw. Todos os três podem ser abusados usando um simples, solicitação HTTP POST não autenticada.
Do acesso a arquivos ao comprometimento total
A exploração bem-sucedida dessas vulnerabilidades pode levar à divulgação de arquivos confidenciais. Um exemplo citado pelos pesquisadores é o acesso ao arquivo InitAccount.cmd, um arquivo de instalação que armazena o nome de usuário e a senha do administrador em texto simples.
Com essas informações em mãos, os invasores podem fazer login com direitos administrativos, obtendo acesso irrestrito à plataforma SysAid.
Encadeando vulnerabilidades para impacto máximo
Preocupantemente, esses problemas XXE podem ser encadeados com uma vulnerabilidade de injeção de comando do sistema operacional não relacionada, mas crítica, atribuído CVE-2025-2778. Quando combinados, as falhas permitem que os invasores não apenas leiam arquivos confidenciais, mas também executem comandos arbitrários no servidor.
Isso torna as vulnerabilidades especialmente perigosas para organizações que não atualizaram suas instalações do SysAid.
Patches e Recomendações Urgentes
A boa notícia é que o SysAid abordou todos os quatro problemas em sua versão local 24.4.60 b16, que foi lançado no início de março 2025. UMA prova de conceito (PoC) ataque demonstrando o método de exploração encadeada foi publicado, aumentando as apostas para ambientes sem patches.
Dado o histórico de vulnerabilidades do SysAid sendo usadas em ataques de dia zero por grupos de ransomware como o Cl0p (notavelmente CVE-2023-47246), é aconselhável uma ação imediata. As organizações que ainda usam versões mais antigas devem atualizar sem demora para se protegerem contra possíveis explorações.
A facilidade de exploração e a natureza crítica das informações expostas fazem com que essas vulnerabilidades sejam uma prioridade para os administradores de sistemas. A aplicação rápida de patches e uma revisão completa dos registros de acesso atuais e das configurações do sistema são etapas essenciais para proteger os ambientes afetados.