Actualice SysAid lo antes posible: 4 errores críticos ahora tienen exploits PoC
Los atacantes sólo necesitan conectar errores en una cadena de ataques para apoderarse completamente de la infraestructura de TI.
El software SysAid, diseñado para la gestión de servicios de TI en infraestructuras locales, resultó ser vulnerable ante una serie de fallos de seguridad críticos que permiten la ejecución remota de código arbitrario antes de la autenticación. Los especialistas de watchTowr Labs informaron sobre cuatro vulnerabilidades, tres de las cuales son inyecciones de entidades externas XML (XXE), y la cuarta está relacionada con la inyección de comandos del sistema operativo.
Las vulnerabilidades han recibido los identificadores CVE-2025-2775, CVE-2025-2776 y CVE-2025-2777. Las dos primeras se explotan a través del endpoint /mdm/checkin, y la tercera a través de /lshw. Para explotarlas, el atacante no necesita autenticarse en el sistema. Según los especialistas Sina Heirhahah y Jake Knott, basta con enviar una solicitud HTTP POST especialmente diseñada para ejecutar una carga útil maliciosa en XML.
La explotación exitosa de las vulnerabilidades XXE permite al atacante llevar a cabo ataques SSRF (Server-Side Request Forgery), así como extraer archivos internos del servidor. Uno de los hallazgos más peligrosos fue el archivo "InitAccount.cmd", que contiene el nombre de usuario del administrador y su contraseña en texto claro, creados durante la instalación del sistema. Con estos datos, el atacante puede acceder a la interfaz de administración de SysAid con privilegios de administrador.
La situación se vuelve aún más preocupante debido al hecho de que las vulnerabilidades XXE mencionadas pueden combinarse con un fallo separado de inyección de comandos en el sistema operativo, identificado como CVE-2025-2778. Esta vulnerabilidad fue descubierta por investigadores externos y permite lograr la ejecución remota total de código en el servidor.
Los cuatro fallos fueron corregidos en la versión SysAid On-Premise 24.4.60 b16, lanzada a principios de marzo de 2025. Teniendo en cuenta que ya está disponible un exploit público de PoC que combina todas las vulnerabilidades en una cadena de ataque, y que anteriormente una de las vulnerabilidades en SysAid (CVE-2023-47246) fue utilizada por el grupo Cl0p en un ataque de día cero, se recomienda a los administradores actualizar sus instancias a la versión más reciente lo antes posible para evitar una posible comprometida.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!