A versão on-premise da solução de tickets de suporte SysAid ITSM tem uma cadeia de vulnerabilidades críticas, permitindo que invasores não autenticados executem comandos remotos explorando diversas falhas de injeção de Entidade Externa XML (XXE) de pré-autenticação. As vulnerabilidades, registradas como CVE-2025-2775, CVE-2025-2776 e CVE-2025-277, foram localizadas por pesquisadores de segurança. O SysAid ITSM é uma plataforma de gerenciamento de ativos de TI e suporte de tickets de negócios crítica, amplamente implantada em ambientes corporativos.
Leia também
Empresas de cyber sobrecarregadas com suporte
Ransomware usa golpe do suporte na busca de vítimas
De acordo com relatório da TowerLabs, os invasores podem explorar três vulnerabilidades distintas de XXE pré-autenticação em implantações locais do SysAid sem patches, o que pode levar à Execução Remota de Comando (RCE) como usuário privilegiado do SISTEMA em servidores Windows.
Dada a ampla implantação do SysAid e a natureza sensível dos dados armazenados (incluindo tickets internos, incidentes e inventários de ativos), essas falhas representam um risco significativo. A natureza remota e pré-autenticação do ataque diminui a barreira para exploração e aumenta o impacto, principalmente porque gangues de ransomware continuamente atacam essa infraestrutura para extorsão e roubo de dados. A equipe de pesquisa sinalizou as vulnerabilidades para a SysAid, que finalmente publicou patches após um longo período após a comunicação.
As vulnerabilidades
1. XXE no endpoint /mdm/checkin (CVE-2025-2775):
Uma falha no manipulador GetMdmMessage#doPost permite que solicitações POST não autenticadas contendo XML malicioso sejam analisadas sem higienização.
Isso aciona uma vulnerabilidade XXE clássica, permitindo que invasores aproveitem entidades externas, como DTDs remotos, para extrair arquivos confidenciais e interagir com serviços internos.
2. XXE no endpoint /mdm/serverurl (CVE-2025-2776):
Um segundo XXE quase idêntico existe no mesmo manipulador, mas para o caminho /mdm/serverurl, permitindo novamente que payloads XML criados acionem XXE não autenticado.
3. XXE no endpoint /lshw (CVE-2025-2777):
Um terceiro XXE pré-autenticação está presente na função LshwAgent#doPost. Aqui, o XML fornecido pelo usuário é manipulado por um analisador SAX sem validação de entrada, permitindo que invasores injetem entidades arbitrárias e escalonem o ataque.
Embora as vulnerabilidades do XXE às vezes possam ser limitadas à divulgação de arquivos, no caso do SysAid ITSM, os pesquisadores demonstraram a capacidade de vazar arquivos locais e sondar recursos de rede interna.
Apesar das recentes mitigações no Java que impedem a exfiltração completa de arquivos, os invasores ainda podem extrair conteúdo de linha única ou aproveitar técnicas baseadas em erros para vazamento de dados.
