SysAid выпустил обновление безопасности для устранения четырех критических уязвимостей в локальной версии своего программного обеспечения для ИТ-поддержки. Все обнаруженные уязвимости позволяют удаленное выполнение кода без предварительной аутентификации с повышенными привилегиями, что представляет серьезную угрозу для организаций, использующих данное ПО.

Выявленным уязвимостям присвоены следующие идентификаторы: CVE-2025-2775, CVE-2025-2776 и CVE-2025-2777, которые связаны с XXE-инъекциями (XML External Entity), а также CVE-2025-2778, представляющая собой инъекцию команд операционной системы, обнаруженная сторонним исследователем.
Механизм атаки с использованием XXE-инъекций основан на вмешательстве в процесс разбора XML-входных данных. Злоумышленники могут внедрять небезопасные XML-сущности в веб-приложение, что открывает несколько векторов атаки. Это позволяет проводить атаки типа SSRF (Server-Side Request Forgery), извлекать локальные файлы, содержащие конфиденциальную информацию, и получать доступ к файлу "InitAccount.cmd", в котором хранятся учетные данные администратора в открытом виде.
Особую опасность представляет возможность объединения уязвимостей XXE с уязвимостью инъекции команд (CVE-2025-2778), что в результате дает злоумышленникам возможность удаленного выполнения произвольного кода в системе. Получив доступ к учетным данным администратора через XXE-уязвимости, атакующие могут получить полный административный доступ к SysAid и дальнейший контроль над инфраструктурой.
Все обнаруженные уязвимости были устранены в локальной версии 24.4.60 b16, выпущенной в начале марта 2025 года. Важно отметить, что уже доступен концепт эксплойта (proof-of-concept), который объединяет все четыре уязвимости для проведения атаки.
История показывает, что уязвимости в программном обеспечении SysAid ранее уже становились целью киберпреступников. Например, предыдущие уязвимости (CVE-2023-47246) активно эксплуатировались операторами программ-вымогателей, включая группировку Cl0p, в атаках нулевого дня.
Учитывая серьезность обнаруженных уязвимостей и наличие доступного эксплойта, всем пользователям локальной версии SysAid настоятельно рекомендуется обновиться до последней версии как можно скорее, чтобы предотвратить возможные атаки и компрометацию систем.
Организациям также следует проверить свои системы на признаки компрометации, особенно если обновление не было установлено своевременно, поскольку комбинация этих уязвимостей предоставляет злоумышленникам широкие возможности для проникновения в корпоративные сети.

Изображение носит иллюстративный характер
Выявленным уязвимостям присвоены следующие идентификаторы: CVE-2025-2775, CVE-2025-2776 и CVE-2025-2777, которые связаны с XXE-инъекциями (XML External Entity), а также CVE-2025-2778, представляющая собой инъекцию команд операционной системы, обнаруженная сторонним исследователем.
Механизм атаки с использованием XXE-инъекций основан на вмешательстве в процесс разбора XML-входных данных. Злоумышленники могут внедрять небезопасные XML-сущности в веб-приложение, что открывает несколько векторов атаки. Это позволяет проводить атаки типа SSRF (Server-Side Request Forgery), извлекать локальные файлы, содержащие конфиденциальную информацию, и получать доступ к файлу "InitAccount.cmd", в котором хранятся учетные данные администратора в открытом виде.
Особую опасность представляет возможность объединения уязвимостей XXE с уязвимостью инъекции команд (CVE-2025-2778), что в результате дает злоумышленникам возможность удаленного выполнения произвольного кода в системе. Получив доступ к учетным данным администратора через XXE-уязвимости, атакующие могут получить полный административный доступ к SysAid и дальнейший контроль над инфраструктурой.
Все обнаруженные уязвимости были устранены в локальной версии 24.4.60 b16, выпущенной в начале марта 2025 года. Важно отметить, что уже доступен концепт эксплойта (proof-of-concept), который объединяет все четыре уязвимости для проведения атаки.
История показывает, что уязвимости в программном обеспечении SysAid ранее уже становились целью киберпреступников. Например, предыдущие уязвимости (CVE-2023-47246) активно эксплуатировались операторами программ-вымогателей, включая группировку Cl0p, в атаках нулевого дня.
Учитывая серьезность обнаруженных уязвимостей и наличие доступного эксплойта, всем пользователям локальной версии SysAid настоятельно рекомендуется обновиться до последней версии как можно скорее, чтобы предотвратить возможные атаки и компрометацию систем.
Организациям также следует проверить свои системы на признаки компрометации, особенно если обновление не было установлено своевременно, поскольку комбинация этих уязвимостей предоставляет злоумышленникам широкие возможности для проникновения в корпоративные сети.