Blog Voicefy
Voltar ao site

SysAid Corrige Quatro Falhas Críticas em Software On-Premise: Risco de Execução Remota de Código

Por Mizael Xavier
SysAid Corrige Quatro Falhas Críticas em Software On-Premise: Risco de Execução Remota de Código

Alerta de Segurança: SysAid Remedia Vulnerabilidades Críticas em Versão On-Premise

A SysAid, uma empresa israelense conhecida por seu software de gerenciamento de serviços de TI (ITSM) e help desk, anunciou recentemente a correção de quatro vulnerabilidades de segurança críticas em sua versão on-premise. Essas falhas, se exploradas, poderiam permitir a execução remota de código (RCE) sem autenticação prévia e com privilégios elevados, representando um risco significativo para as organizações que utilizam o software.

As vulnerabilidades foram detalhadas por pesquisadores de segurança cibernética e incluem três problemas de Injeção de Entidade Externa XML (XXE) e uma falha de injeção de comando no sistema operacional. A SysAid agiu prontamente e lançou uma atualização, a versão 24.4.60 b16, no início de março de 2025 para corrigir essas brechas. Dada a gravidade e a possibilidade de exploração, é crucial que todos os usuários da versão on-premise do SysAid atualizem seus sistemas imediatamente.

Detalhes das Vulnerabilidades Corrigidas pela SysAid

Pesquisadores do watchTowr Labs, Sina Kheirkhah e Jake Knott, identificaram e descreveram três das vulnerabilidades como injeções de XXE. Essas falhas ocorrem quando um aplicativo analisa incorretamente a entrada XML, permitindo que um invasor injete entidades XML maliciosas. Isso pode levar a ataques de Falsificação de Solicitação do Lado do Servidor (SSRF) e, nos piores cenários, à execução remota de código. As vulnerabilidades XXE são:

  • CVE-2025-2775 e CVE-2025-2776: Ambas são falhas de XXE pré-autenticadas encontradas no endpoint /mdm/checkin.
  • CVE-2025-2777: Uma vulnerabilidade de XXE pré-autenticada localizada no endpoint /lshw.

Segundo o watchTowr Labs, essas vulnerabilidades são consideradas triviais de explorar através de uma requisição HTTP POST especialmente criada para os endpoints mencionados. A exploração bem-sucedida dessas falhas poderia permitir que um invasor acessasse arquivos locais contendo informações sensíveis. Um exemplo crítico é o arquivo "InitAccount.cmd" da própria SysAid, que armazena o nome de usuário da conta de administrador e a senha em texto plano, criados durante a instalação do software. Com essas credenciais, um invasor poderia obter acesso administrativo completo à plataforma SysAid.

Para agravar a situação, essas falhas de XXE podem ser encadeadas com uma quarta vulnerabilidade, uma injeção de comando do sistema operacional (identificada como CVE-2025-2778 e descoberta por terceiros), para alcançar a execução remota de código. A combinação dessas vulnerabilidades representa um risco de segurança severo.

O que é o Software SysAid?

O SysAid é uma solução de software de gerenciamento de serviços de TI e help desk. Ele integra diversas ferramentas essenciais de TI em um único Service Desk, oferecendo funcionalidades como um poderoso Help Desk, gerenciamento de ativos e outras ferramentas para analisar e otimizar o desempenho do suporte técnico. O software é utilizado por uma vasta gama de organizações, desde pequenas empresas até grandes corporações, em diversos setores. Fundada em 2002 por Israel Lifshitz, a SysAid Technologies tem sua sede em Airport City, Israel, e escritórios em outras localidades, incluindo o Brasil desde 2012.

Impacto Potencial e Ameaças Anteriores envolvendo o SysAid

A exploração bem-sucedida das vulnerabilidades recentemente corrigidas poderia levar à divulgação de arquivos confidenciais e, no caso da combinação com a falha de injeção de comando, permitiria que invasores executassem comandos arbitrários no servidor. Isso torna as vulnerabilidades especialmente perigosas para organizações que não atualizaram suas instalações do SysAid. Ataques de Path Traversal (como o CVE-2023-47246 explorado anteriormente) e SQL Injection são ameaças comuns que podem ter consequências devastadoras, como acesso a dados confidenciais, modificação ou exclusão de informações e até mesmo o controle total do sistema afetado. Da mesma forma, vulnerabilidades de Cross-Site Scripting (XSS), que já afetaram o SysAid no passado, podem ser usadas para roubar informações sensíveis ou executar código no navegador da vítima.

É importante notar que o SysAid já foi alvo de ataques anteriormente. Em 2023, o grupo de ransomware Cl0p explorou a vulnerabilidade CVE-2023-47246 em ataques de dia zero. A equipe de Inteligência de Ameaças da Microsoft identificou essa exploração e alertou a SysAid. Esses incidentes reforçam a necessidade crítica de manter os sistemas sempre atualizados. A CISA (Cybersecurity and Infrastructure Security Agency) e o FBI frequentemente emitem alertas sobre a persistência de vulnerabilidades como a de Path Traversal, instando os fabricantes de software a eliminá-las antes do lançamento dos produtos.

A Importância da Atualização de Software para a Segurança do SysAid

A atualização regular de software é uma pedra angular da segurança cibernética. Desenvolvedores de software trabalham continuamente para aprimorar suas soluções, corrigindo bugs e vulnerabilidades de segurança. Ignorar essas atualizações deixa os sistemas expostos a falhas conhecidas que podem ser exploradas por cibercriminosos. As atualizações geralmente incluem patches de segurança que fecham essas brechas, fortalecendo a segurança dos sistemas e reduzindo o risco de ataques. Além disso, as atualizações podem introduzir novos recursos de segurança e melhorias na proteção contra ameaças emergentes.

No caso específico do SysAid, a empresa disponibilizou a versão on-premise 24.4.60 b16 no início de março de 2025 para corrigir as quatro vulnerabilidades críticas. Uma prova de conceito (PoC) combinando as quatro vulnerabilidades foi disponibilizada, o que aumenta a urgência para que os usuários apliquem o patch.

Recomendações de Segurança para Usuários do SysAid

Para proteger os sistemas contra essas e futuras ameaças, os administradores de sistemas que utilizam o SysAid devem seguir estas boas práticas de segurança:

  • Atualizar imediatamente: Instalar a versão 24.4.60 b16 do SysAid ou superior.
  • Monitorar atividades: Acompanhar os logs em busca de atividades incomuns nos endpoints afetados.
  • Implementar camadas adicionais de segurança: Utilizar Web Application Firewalls (WAFs) para bloquear tentativas de exploração.
  • Restringir acesso externo: Desativar o acesso externo direto ao SysAid sempre que possível.
  • Adotar autenticação multifator (MFA): Implementar políticas de MFA para adicionar uma camada extra de segurança no login.

A segurança cibernética é um processo contínuo. Manter o software atualizado, monitorar sistemas e seguir as melhores práticas de segurança são passos essenciais para proteger os ativos digitais de uma organização.

Mizael Xavier

Mizael Xavier

Desenvolvedor e escritor técnico

Ver todos os posts

Compartilhar:

Posts relacionados