SysAid corrige quatro falhas críticas que permitem execução remota de código pré-autenticada em versão On-Premise

Pesquisadores revelaram múltiplas falhas de segurança na versão on-premise do software de suporte de TI SysAid que poderiam ser exploradas para alcançar a execução remota de código pré-autenticada com privilégios elevados. As vulnerabilidades, rastreadas como CVE-2025-2775, CVE-2025-2776 e CVE-2025-2777, foram todas descritas como injeções de XML External Entity (XXE), que ocorrem quando um invasor consegue interferir com sucesso na análise de entrada XML por um aplicativo.

Isso, por sua vez, poderia permitir que invasores injetassem entidades XML inseguras no aplicativo web, possibilitando a realização de um ataque Server-Side Request Forgery (SSRF) e, no pior dos casos, a execução remota de código. Uma descrição das três vulnerabilidades, de acordo com os pesquisadores dos watchTowr Labs Sina Kheirkhah e Jake Knott, é a seguinte:

• CVE-2025-2775 e CVE-2025-2776: Uma XXE pré-autenticada dentro do endpoint /mdm/checkin.

• CVE-2025-2777: Uma XXE pré-autenticada dentro do endpoint /lshw.

A watchTowr Labs descreveram as vulnerabilidades como triviais de explorar por meio de uma solicitação HTTP POST especialmente criada para os endpoints em questão. A exploração bem-sucedida das falhas poderia permitir que um invasor recuperasse arquivos locais contendo informações confidenciais, incluindo o próprio arquivo "InitAccount.cmd" do SysAid, que contém informações sobre o nome de usuário da conta de administrador e a senha em texto plano criada durante a instalação.

De posse dessas informações, o invasor poderia então obter acesso administrativo completo ao SysAid como um usuário com privilégios de administrador. Para piorar a situação, as falhas XXE poderiam ser encadeadas com outra vulnerabilidade de injeção de comando do sistema operacional – descoberta por terceiros – para alcançar a execução remota de código. O problema de injeção de comando recebeu o identificador CVE-2025-2778.

Todas as quatro vulnerabilidades foram corrigidas pela SysAid com o lançamento da versão on-premise 24.4.60 b16 no início de março de 2025. Uma prova de conceito (PoC) explorando a combinação das quatro vulnerabilidades foi disponibilizada. Considerando que falhas de segurança no SysAid (CVE-2023-47246) foram previamente exploradas por grupos hackers de ransomware como o Cl0p em ataques zero-day, é imperativo que os usuários atualizem suas instâncias para a versão mais recente.

Via - THN