Pesquisadores de cibersegurança divulgaram múltiplas falhas de segurança na versão local do software de suporte de TI SysAid, que poderiam ser exploradas para alcançar execução remota de código pré-autenticada com privilégios elevados.
As vulnerabilidades, identificadas como
CVE-2025-2775
,
CVE-2025-2776
e
CVE-2025-2777
, foram todas descritas como injeções de XML External Entity (XXE), ocorrências quando um atacante consegue interferir com sucesso na análise (parsing) de entrada XML de uma aplicação.
Isso, por sua vez, poderia permitir que os atacantes injetassem entidades XML inseguras na aplicação web, possibilitando a realização de um ataque de Server-Side Request Forgery (SSRF) e, nos piores casos, execução remota de código.
A descrição das três vulnerabilidades, segundo os pesquisadores do watchTowr Labs, Sina Kheirkhah e Jake Knott, é a seguinte:
-
CVE-2025-2775
e
CVE-2025-2776
- Um XXE pré-autenticado dentro do endpoint /mdm/checkin
-
CVE-2025-2777
- Um XXE pré-autenticado dentro do endpoint /lshw
O watchTowr Labs descreveu as vulnerabilidades como triviais de se explorar por meio de uma requisição HTTP POST especialmente criada para os endpoints em questão.
A exploração bem-sucedida das falhas poderia permitir que um atacante recuperasse arquivos locais contendo informações sensíveis, incluindo o arquivo "InitAccount.cmd" do próprio SysAid, que contém informações sobre o nome de usuário da conta do administrador e a senha em texto claro criados durante a instalação.
Com essa informação, o atacante poderia então obter acesso administrativo total ao SysAid como um usuário com privilégios de administrador.
Para piorar as coisas, as falhas de XXE poderiam ser encadeadas com outra vulnerabilidade de injeção de comando do sistema operacional – descoberta por uma terceira parte – para alcançar execução remota de código.
A questão de injeção de comando foi atribuída ao identificador CVE
CVE-2025-2778
.
Todas as quatro vulnerabilidades foram corrigidas pelo SysAid com o lançamento da versão local 24.4.60 b16 no início de março de 2025.
Um exploit de prova de conceito (PoC) combinando as quatro vulnerabilidades foi disponibilizado.
Com falhas de segurança no SysAid (
CVE-2023-47246
) anteriormente exploradas por atores de ransomware como Cl0p em ataques de dia zero, é imperativo que os usuários atualizem suas instâncias para a versão mais recente.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...