- 19,447
- 40
- 8 Ноя 2022
Атакующим достаточно соединить баги в цепочку атак для полного захвата IT-инфраструктуры.
Программное обеспечение SysAid, предназначенное для управления IT-услугами в локальной инфраструктуре, оказалось уязвимо перед целым рядом критических проблем безопасности, которые позволяют удалённое выполнение произвольного кода до аутентификации. Специалисты из watchTowr Labs Для просмотра ссылки Войдиили Зарегистрируйся о четырёх уязвимостях, три из которых представляют собой инъекции внешних сущностей XML (XXE), а четвёртая связана с внедрением системных команд в операционной системе.
Уязвимости получили идентификаторы Для просмотра ссылки Войдиили Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся . Первые две реализуются через эндпоинт /mdm/checkin, а третья — через /lshw. Для их эксплуатации злоумышленнику не требуется авторизация в системе. По словам специалистов Сины Хейрхаха и Джейка Нотта, достаточно отправить специально сформированный HTTP POST-запрос, чтобы запустить вредоносную XML-нагрузку.
Успешная эксплуатация XXE позволяет атакующему выполнять SSRF-атаки (Server-Side Request Forgery), а также извлекать внутренние файлы сервера. Одной из наиболее опасных находок стал файл «InitAccount.cmd», который содержит имя пользователя администратора и его пароль в открытом виде, созданные при установке системы. Получив эти данные, злоумышленник может войти в интерфейс управления SysAid с правами администратора.
Ещё более тревожной ситуацию делает тот факт, что перечисленные XXE-уязвимости могут быть объединены с отдельной проблемой внедрения команд в ОС, которая получила идентификатор Для просмотра ссылки Войдиили Зарегистрируйся . Эту Для просмотра ссылки Войди или Зарегистрируйся обнаружили сторонние исследователи, и она позволяет добиться полного удалённого выполнения кода на сервере.
Все четыре проблемы были устранены в релизе SysAid On-Premise 24.4.60 b16, выпущенной в начале марта 2025 года. С учётом того, что публичный PoC-эксплойт, объединяющий эксплуатацию всех уязвимостей в одну цепочку атаки, уже доступен, а также того, что ранее одна из уязвимостей в SysAid (CVE-2023-47246) использовалась группировкой Cl0p в рамках атаки нулевого дня, администраторам следует как можно скорее обновить свои инстансы до актуальной версии, чтобы исключить возможность компрометации.
Программное обеспечение SysAid, предназначенное для управления IT-услугами в локальной инфраструктуре, оказалось уязвимо перед целым рядом критических проблем безопасности, которые позволяют удалённое выполнение произвольного кода до аутентификации. Специалисты из watchTowr Labs Для просмотра ссылки Войди
Уязвимости получили идентификаторы Для просмотра ссылки Войди
Успешная эксплуатация XXE позволяет атакующему выполнять SSRF-атаки (Server-Side Request Forgery), а также извлекать внутренние файлы сервера. Одной из наиболее опасных находок стал файл «InitAccount.cmd», который содержит имя пользователя администратора и его пароль в открытом виде, созданные при установке системы. Получив эти данные, злоумышленник может войти в интерфейс управления SysAid с правами администратора.
Ещё более тревожной ситуацию делает тот факт, что перечисленные XXE-уязвимости могут быть объединены с отдельной проблемой внедрения команд в ОС, которая получила идентификатор Для просмотра ссылки Войди
Все четыре проблемы были устранены в релизе SysAid On-Premise 24.4.60 b16, выпущенной в начале марта 2025 года. С учётом того, что публичный PoC-эксплойт, объединяющий эксплуатацию всех уязвимостей в одну цепочку атаки, уже доступен, а также того, что ранее одна из уязвимостей в SysAid (CVE-2023-47246) использовалась группировкой Cl0p в рамках атаки нулевого дня, администраторам следует как можно скорее обновить свои инстансы до актуальной версии, чтобы исключить возможность компрометации.
- Источник новости
- www.securitylab.ru
