Срочно обновите SysAid — сразу 4 критических бага обзавелись PoC-эксплойтами
Атакующим достаточно соединить баги в цепочку атак для полного захвата IT-инфраструктуры.
Программное обеспечение SysAid, предназначенное для управления IT-услугами в локальной инфраструктуре, оказалось уязвимо перед целым рядом критических проблем безопасности, которые позволяют удалённое выполнение произвольного кода до аутентификации. Специалисты из watchTowr Labs сообщили о четырёх уязвимостях, три из которых представляют собой инъекции внешних сущностей XML (XXE), а четвёртая связана с внедрением системных команд в операционной системе.
Уязвимости получили идентификаторы CVE-2025-2775 , CVE-2025-2776 и CVE-2025-2777 . Первые две реализуются через эндпоинт /mdm/checkin, а третья — через /lshw. Для их эксплуатации злоумышленнику не требуется авторизация в системе. По словам специалистов Сины Хейрхаха и Джейка Нотта, достаточно отправить специально сформированный HTTP POST-запрос, чтобы запустить вредоносную XML-нагрузку.
Успешная эксплуатация XXE позволяет атакующему выполнять SSRF-атаки (Server-Side Request Forgery), а также извлекать внутренние файлы сервера. Одной из наиболее опасных находок стал файл «InitAccount.cmd», который содержит имя пользователя администратора и его пароль в открытом виде, созданные при установке системы. Получив эти данные, злоумышленник может войти в интерфейс управления SysAid с правами администратора.
Ещё более тревожной ситуацию делает тот факт, что перечисленные XXE-уязвимости могут быть объединены с отдельной проблемой внедрения команд в ОС, которая получила идентификатор CVE-2025-2778 . Эту уязвимость обнаружили сторонние исследователи, и она позволяет добиться полного удалённого выполнения кода на сервере.
Все четыре проблемы были устранены в релизе SysAid On-Premise 24.4.60 b16, выпущенной в начале марта 2025 года. С учётом того, что публичный PoC-эксплойт, объединяющий эксплуатацию всех уязвимостей в одну цепочку атаки, уже доступен, а также того, что ранее одна из уязвимостей в SysAid (CVE-2023-47246) использовалась группировкой Cl0p в рамках атаки нулевого дня, администраторам следует как можно скорее обновить свои инстансы до актуальной версии, чтобы исключить возможность компрометации.