Ssylka

Как злоумышленники могут получить полный доступ к системам через уязвимости в SysAid?

SysAid выпустил обновление безопасности для устранения четырех критических уязвимостей в локальной версии своего программного обеспечения для ИТ-поддержки. Все обнаруженные уязвимости позволяют удаленное выполнение кода без предварительной аутентификации с повышенными привилегиями, что представляет серьезную угрозу для организаций, использующих данное ПО.
Как злоумышленники могут получить полный доступ к системам через уязвимости в SysAid?
Изображение носит иллюстративный характер

Выявленным уязвимостям присвоены следующие идентификаторы: CVE-2025-2775, CVE-2025-2776 и CVE-2025-2777, которые связаны с XXE-инъекциями (XML External Entity), а также CVE-2025-2778, представляющая собой инъекцию команд операционной системы, обнаруженная сторонним исследователем.

Механизм атаки с использованием XXE-инъекций основан на вмешательстве в процесс разбора XML-входных данных. Злоумышленники могут внедрять небезопасные XML-сущности в веб-приложение, что открывает несколько векторов атаки. Это позволяет проводить атаки типа SSRF (Server-Side Request Forgery), извлекать локальные файлы, содержащие конфиденциальную информацию, и получать доступ к файлу "InitAccount.cmd", в котором хранятся учетные данные администратора в открытом виде.

Особую опасность представляет возможность объединения уязвимостей XXE с уязвимостью инъекции команд (CVE-2025-2778), что в результате дает злоумышленникам возможность удаленного выполнения произвольного кода в системе. Получив доступ к учетным данным администратора через XXE-уязвимости, атакующие могут получить полный административный доступ к SysAid и дальнейший контроль над инфраструктурой.

Все обнаруженные уязвимости были устранены в локальной версии 24.4.60 b16, выпущенной в начале марта 2025 года. Важно отметить, что уже доступен концепт эксплойта (proof-of-concept), который объединяет все четыре уязвимости для проведения атаки.

История показывает, что уязвимости в программном обеспечении SysAid ранее уже становились целью киберпреступников. Например, предыдущие уязвимости (CVE-2023-47246) активно эксплуатировались операторами программ-вымогателей, включая группировку Cl0p, в атаках нулевого дня.

Учитывая серьезность обнаруженных уязвимостей и наличие доступного эксплойта, всем пользователям локальной версии SysAid настоятельно рекомендуется обновиться до последней версии как можно скорее, чтобы предотвратить возможные атаки и компрометацию систем.

Организациям также следует проверить свои системы на признаки компрометации, особенно если обновление не было установлено своевременно, поскольку комбинация этих уязвимостей предоставляет злоумышленникам широкие возможности для проникновения в корпоративные сети.


Новое на сайте

15738Советский аппарат "космос-482" возвращается на землю после полувековой орбиты 15737Как NASA достигает научных прорывов с помощью стратосферных шаров? 157369 удивительных фактов о Дэвиде Аттенборо, которых вы не знали 15735Голос из небытия: как ИИ позволил жертве дорожной ярости обратиться к своему убийце 15733Как выжить при глобальной катастрофе: почему сообщество важнее капитала? 15732Марсианские "потёки краски": новые свидетельства схожести геологических... 15731Как ядерная энергетика становится ключом к развитию искусственного интеллекта? 15730Последняя попытка спастись: уникальная находка в доме древних римлян в Помпеях 15729Что скрывается в вашем дворе: ужасающая находка, заставившая интернет содрогнуться? 15728Древняя звезда раскрывает тайны эволюции космических объектов 15727Ньюкасл впервые примет церемонию вручения престижной премии Mercury Prize 15726Европол ликвидировал шесть сервисов DDoS-атак на заказ 15725Критические уязвимости в плагине OttoKit угрожают более 100 000 сайтов WordPress 15724Как злоумышленники могут получить полный доступ к системам через уязвимости в SysAid?