Una cadena de vulnerabilidad crítica en la plataforma de Servicios de TI de SYSAID (ITSM) permite a los atacantes lograr la ejecución de comandos remotos (RCE) previamente reconocidos.
Los resultados detallan cómo las vulnerabilidades de las entidades externas XML (xxe) combinadas con defectos en la inyección de comandos de OS crean vectores de ataque peligrosos contra un software empresarial ampliamente utilizado.
Se han identificado tres vulnerabilidades XXE que pueden explotarse sin autenticación (CVE-2025-2775, CVE-2025-2776 y CVE-2025-2777).
Estos defectos residen en los puntos finales de gestión de dispositivos móviles (MDM) de SYSAID (MDM) y los servicios de inventario de hardware, lo que permite a los atacantes extraer archivos del sistema confidenciales.
“Hemos identificado archivos importantes que contienen credenciales de administrador en texto sin formato permanecieron después de la instalación del sistema de archivos”, compartió un investigador de WatchTowr Labs con Cyber Security News.
“La vulnerabilidad XXE se puede utilizar para extraer contraseñas de administrador del archivo initaccount.cmd y proporcionar acceso administrativo completo a la plataforma”.
Detalles técnicos: xxe e inyección de comandos
La cadena de vulnerabilidad comienza con vulnerabilidades (CVE-2025-2775, CVE-2025-2776, CVE-2025-2777) en tres entidades externas XML diferentes (xxe).
Estos defectos permiten que un atacante envíe cargas útiles XML inteligentes que obligan a las aplicaciones a divulgar archivos confidenciales del sistema de archivos del servidor.
Los investigadores encontraron que el archivo initaccount.cmd, que se fue después de la instalación, contiene credenciales de administrador de texto sin formato. Al explotar la vulnerabilidad XXE, un atacante puede extraer este archivo y obtener una contraseña de administrador.
El acceso al administrador permite a los atacantes aprovechar la vulnerabilidad de inyección del comando OS post-autorizada (CVE-2025-2778) en los puntos finales API.JSP.
Este defecto permite que cualquier comando se ejecute a través del parámetro Javalocation. Esto no es seguro para los scripts de shell.
Esta cadena de vulnerabilidad es particularmente preocupante ya que la solución SYSAID ITSM es una aplicación crítica comercial que contiene información confidencial sobre boletos internos, incidentes, entradas basadas en el conocimiento e inventario de activos.
Versiones y reparaciones afectadas
Todas las instalaciones locales SYSAID que ejecutan versiones antes de 23.3.40 se ven afectadas.
SYSAID está abordando estas vulnerabilidades en la versión 24.4.60, lanzadas en marzo de 2025. Las organizaciones que usan Sysaidon-Greemise están muy obligadas a actualizarse de inmediato.
Esta no es la primera vez que SYSAID se enfrenta a serios problemas de seguridad. En noviembre de 2023, la vulnerabilidad de cero días (CVE-2023-47246) fue explotada por el grupo de amenazas Lace Tempest, también conocido como Dev-0950.
La vulnerabilidad permitió a los atacantes subir archivos de guerra maliciosos para obtener acceso no autorizado.
“ITSM Solutions continúa siendo un objetivo muy atractivo para las pandillas de ransomware que buscan oportunidades para extender las organizaciones, los sistemas en cifrar y robar datos confidenciales”, dijo el investigador.
Las organizaciones que usan Sysaid In-Made deben:
Actualizaré a la versión 24.4.60 o más tarde inmediatamente. Realizamos una evaluación de seguridad integral para identificar compromisos potenciales. Verifique los registros de actividades sospechosas relacionadas con puntos finales vulnerables. Implemente la protección a nivel de red para restringir el acceso a instancias SYSAID.
Los expertos en seguridad enfatizan que el software empresarial con un conjunto de características amplias como SYSAID a menudo expande su superficie de ataque.
Este hallazgo destaca la importancia de las evaluaciones de seguridad regulares de las aplicaciones críticas de negocios, ya que sigue siendo un objetivo importante para los actores de amenaza sofisticados.
¿Configuración del equipo de SOC? – Descargue la Guía de precios de SIEM Ultimate (PDF) gratuita para equipos SOC -> Descarga gratuita
