Güvenlik araştırmacıları, SYSAID ITSM’nin şirket içi çözümünü etkileyen kritik güvenlik açıkları zincirini açıkladı ve kimlik doğrulanmamış saldırganların birkaç Auth öncesi XML dış varlık (XXE) enjeksiyon kusurlarından yararlanarak uzaktan komutları yürütmelerini sağladı.
CVE-2025-2775, CVE-2025-2776 ve CVE-2025-2777 olarak kayıtlı güvenlik açıkları, yaygın olarak kullanılan BT hizmet yönetimi platformlarında sistemik riskleri vurgulamaktadır.
SYSAID ITSM Pre-auth xxe kusurları tarafından rahatsız edilen
SYSAID ITSM, kurumsal ortamlarda yaygın olarak konuşlandırılan iş açısından kritik bir destek bileti ve BT varlık yönetimi platformudur.
.png
)
TowerLabs tarafından yapılan son araştırmalara göre, saldırganlar, Windows sunucularındaki ayrıcalıklı sistem kullanıcısı olarak, potansiyel olarak SYSAID Şirket içi dağıtımlarda (RCE) üç farklı Auth öncesi XXE güvenlik açıklarından yararlanabilir.
Güvenlik Açığı Arızası
1. xxe in /mdm /checkin uç noktası (CVE-2025-2775):
GetMdMMessage#Dopost işleyicisindeki bir kusur, kötü niyetli XML içeren kimlik doğrulanmamış posta isteklerinin dezenfektan olmadan ayrıştırılmasını sağlar.
Bu, klasik bir XXE güvenlik açığını tetikler, saldırganların uzak DTD’ler gibi harici varlıklardan yararlanmasına izin verir ve hassas dosyaları ayıklamak ve dahili hizmetlerle etkileşime girer.
2. XXE In /MDM /ServerURL uç noktası (CVE-2025-2776):
İkinci olarak, aynı işleyicide neredeyse aynı XXE vardır, ancak /MDM /ServerURL yolu için, yine hazırlanmış XML yüklerinin kimlik doğrulanmamış XXE’yi tetiklemesine izin verir.
3. XXE In /LSHW Bitiş Noktası (CVE-2025-2777):
LSHWAGENT#DOPOST işlevinde üçüncü bir Auth XXE bulunur. Burada, kullanıcı tarafından sağlanan XML, giriş doğrulaması olmayan bir saksafon ayrıştırıcısı tarafından ele alınır, bu da saldırganların keyfi varlıklar enjekte etmesini ve saldırıyı artırmasını sağlar.
XXE güvenlik açıkları bazen dosya açıklaması ile sınırlı olsa da, SYSAID ITSM durumunda, araştırmacılar yerel dosyaları sızdırma ve dahili ağ kaynaklarını araştırma yeteneğini gösterdiler.
Java’daki tam dosya açığa çıkmasını engelleyen son hafifletmelerine rağmen, saldırganlar hala tek satırlı içeriği çıkarabilir veya veri sızıntısı için hata tabanlı tekniklerden yararlanabilir.
SYSAID’nin geniş dağıtım ve dahili biletler, olaylar ve varlık envanterleri de dahil olmak üzere depolanan verilerin hassas doğası göz önüne alındığında, bunlar önemli bir riski temsil etmektedir.
Saldırının uzaktan, öte-ödenmemiş doğası, sömürü engelini düşürür ve özellikle fidye yazılımı çeteleri sürekli olarak bu tür altyapıyı gasp ve veri hırsızlığı için hedeflerken etkiyi yükseltir.
Araştırma ekibi, güvenlik açıklarını, sonuçta uzun bir iletişim döneminden sonra yamalar yayınlayan SYSAID’ye işaretledi.
Kuruluşlardan en son güvenlik güncellemelerini derhal uygulamaya, kamuya açık örnekleri denetlemeleri ve savunmasız uç noktaları hedefleyen şüpheli etkinlikleri izlemeleri istenir.
Bu açıklama, ITSM Solutions gibi iş açısından kritik platformların titiz güvenlik değerlendirmelerine duyulan ihtiyacın altını çizmektedir.
Saldırganlar giderek bu tür sistemlere manzaralarını belirledikçe, güncel yama ve uyanık izlemeyi korumak, modern siber tehditlere karşı savunmada gereklidir.
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir