WatchTowr araştırmacıları, SYSAID’de iki güvenlik açığını zincirleyen bir kavram kanıtı (POC) istismarı yayınladılar-SYSAID’nin popüler BT hizmet yönetimi ve IT yardımcı masası çözümleri-altta yatan sunucuda kimlik doğrulanmamış uzaktan kod yürütme elde etmek için kendi kendine barındırılmış sürüm.
Güvenlik açıkları, 2025 yılının başında piyasaya sürülen SYSAID şirket içi V24.4.60’ta yamalandı, ancak birçok işletmenin henüz yükseltilmemiş olması muhtemel.
POC’yi Yaratmak
“Şirket içi dağıtımda, SYSAID kuruluşunuzun altyapısında Windows sunucusu tabanlı bir uygulama olarak çalışır. SYSAID sunucusunu dolabınızdaki başka bir Windows kutusu olarak düşünün, bunun dışında her BT bileti, varlık kaydını ve yardım desk büyüsünü işler.
Zayıflıklar için başvuruyu araştırarak, üç XML dış varlık enjeksiyon güvenlik açıklarını ortaya çıkardılar (CVE-2025-2775, CVE-2025-2776 ve CVE-2025-2777).
Bunlar, uygulamayı saldırgan kontrollü bir sunucudan veri indirmeye ve işlemeye zorlayacak özel olarak hazırlanmış bir HTTP sonrası isteği göndererek kullanılabilir-ve bir saldırganın herhangi birinden yararlanmak için geçerli oturum açma kimlik bilgilerine ihtiyacı yoktur.
Daha sonra, bunlardan birini kullanarak, SYSAID ilk yüklendiğinde oluşturulan ve ana yönetici hesabının net metin şifresini içerdiğinde oluşturulan örnekten belirli bir dosya alabileceğini gösterdiler.
Güvenlik açıklarını SYSAID’ye bildirdiler ve şirket, platformun yukarıda belirtilen v24.4.60’ındaki bunları ve diğerlerini yamaladı. Diğerleri arasında CVE-2025-2778 (veya SYSAID-11246), içsel olarak bulunan veya başka bir araştırmacı tarafından rapor edilen bir OS komutu enjeksiyon güvenlik açığı vardı.
Savunmasız ve yamalı versiyonu karşılaştırarak, komut enjeksiyon kusurunu tespit ettiler. Bu bilgi ve yönetici kimlik bilgileri ile, bir HTTP isteği göndererek Auth öncesi uzaktan kod yürütme elde edebileceklerini gösterdiler.
SYSAID örneklerine erişimi yükseltin ve/veya önleme
SYSAID örneğiniz internete bakıyorsa, hemen değilse, mümkün olan en kısa sürede yükseltmelisiniz: geçmişte fidye yazılımı çeteleri tarafından hedeflenen bir POC ve SYSAID ile, sömürü denemeleri başlayana kadar sadece bir zaman meselesidir.
Ayrıca internet üzerinden ulaşılabilir bir örneğin gerçekten ihtiyacınız olup olmadığını da düşünün. Değilse, genel İnternet erişimini devre dışı bırakın, SYSAID’yi bir güvenlik duvarının veya VPN’nin arkasına koyun ve yalnızca güvenilir IP’lerden veya dahili ağlardan erişime izin verin.
SYSAID yöneticisinin ve standart kullanıcı hesaplarının çok faktörlü kimlik doğrulaması ile güvence altına alınması da iyi bir fikirdir.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!