Pesquisadores da watchTowr Labs divulgaram a descoberta de quatro vulnerabilidades críticas na versão on-premise do SysAid, software amplamente utilizado para suporte e gerenciamento de TI. As falhas, rastreadas sob os identificadores CVE-2025-2775, CVE-2025-2776, CVE-2025-2777 e CVE-2025-2778, permitem que atacantes não autenticados executem código remotamente com privilégios elevados, representando uma ameaça grave à segurança de ambientes corporativos.
Três das vulnerabilidades estão relacionadas a ataques XXE (XML External Entity), uma técnica que explora a forma como aplicações processam entradas XML. No SysAid, os pesquisadores identificaram dois pontos de ataque no endpoint /mdm/checkin e um no /lshw, todos acessíveis antes de qualquer autenticação. A falha permite que invasores realizem ataques SSRF (Server-Side Request Forgery), podendo inclusive acessar arquivos locais do sistema.
Durante os testes, os pesquisadores conseguiram extrair o arquivo InitAccount.cmd, que armazena o nome de usuário e a senha do administrador definidos durante a instalação — ambos em texto claro. Com essas credenciais em mãos, um atacante pode obter controle total do sistema.
Ainda mais preocupante, as falhas XXE podem ser combinadas com uma vulnerabilidade de injeção de comando no sistema operacional (CVE-2025-2778), permitindo que o invasor execute comandos arbitrários remotamente no servidor vulnerável.
🛠️ Atualização urgente recomendada
Todas as vulnerabilidades foram corrigidas com o lançamento da versão 24.4.60 b16, disponibilizada em março de 2025. A empresa recomenda que todos os usuários atualizem imediatamente para essa versão a fim de mitigar os riscos.
Vale lembrar que o SysAid já foi alvo de ataques anteriores — como no caso da vulnerabilidade CVE-2023-47246, explorada pelo grupo de ransomware Cl0p em um ataque zero-day. Com uma prova de conceito (PoC) pública já disponível, o risco de exploração em massa aumenta significativamente.
🔐 Recomendações:
- Atualize para a versão 24.4.60 b16 imediatamente;
- Revise os acessos e privilégios dos usuários locais;
- Monitore tentativas de acesso aos endpoints vulneráveis;
- Considere segmentar o acesso ao servidor SysAid, isolando-o da internet pública, quando possível.
A descoberta reforça a importância de manter sistemas atualizados e revisar constantemente práticas de segurança, especialmente em softwares de missão crítica como o SysAid.
