Siber güvenlik araştırmacıları, SYSAID BT destek yazılımının şirket içi sürümünde, yüksek ayrıcalıklarla önceden onaylanmış uzaktan kod yürütme elde etmek için kullanılabilecek birden fazla güvenlik kusuru açıklamışlardır.
CVE-2025-2775, CVE-2025-2776 ve CVE-2025-2777 olarak izlenen güvenlik açıkları, bir saldırganın bir uygulamanın XML girişinin parsingine başarılı bir şekilde müdahale edebildiğinde XML dış varlık (XXE) enjeksiyonları olarak tanımlanmıştır.
Bu da, saldırganların Web uygulamasına güvenli olmayan XML varlıklarını enjekte etmesine izin vererek, sunucu tarafı istek amptör (SSRF) saldırısı ve en kötü durumlarda uzaktan kod yürütme yapmalarına izin verebilir.
WatchTowr Labs araştırmacıları Sina Kheirkhah ve Jake Knott’a göre üç güvenlik açıkının açıklaması aşağıdaki gibidir –
- CVE-2025-2775 ve CVE-2025-2776- /MDM /CHECKIN uç noktası içinde önceden onaylanmış bir XXE
- CVE-2025-2777- /LSHW uç noktası içinde önceden onaylanmış bir XXE
WatchTowr Labs, güvenlik açıklarını, söz konusu uç noktalara özel hazırlanmış bir HTTP sonrası isteği aracılığıyla sömürmek için önemsiz olarak nitelendirdi.
Kusurların başarılı bir şekilde kullanılması, bir saldırganın SYSAID’nin Yönetici Hesabı Kullanıcı Adı ve Kurulum sırasında oluşturulan düz metin şifresi hakkında bilgi içeren kendi “InitAccount.cmd” dosyası da dahil olmak üzere hassas bilgiler içeren yerel dosyaları almasını sağlayabilir.
Bu bilgilerle donanmış olan saldırgan, yönetici tarafından özelleştirilmiş bir kullanıcı olarak SYSAID’ye tam idari erişim elde edebilir.
Daha da kötüsü, XXE kusurları, uzaktan kod yürütülmesini sağlamak için üçüncü taraf tarafından keşfedilen başka bir işletim sistemi komut enjeksiyon güvenlik açığı ile zincirlenebilir. Komut enjeksiyon sorunu CVE-2025-2778 CVE tanımlayıcısı atandı.
Dört güvenlik açıkının hepsi, Mart 2025’in başlarında şirket içi 24.4.60 B16 sürümünün piyasaya sürülmesiyle SYSAID tarafından düzeltildi. Dört güvenlik açığını birleştiren bir kavram kanıtı (POC) kullanıma sunuldu.
SIRO-Day saldırılarında CL0P gibi fidye yazılımı aktörleri tarafından daha önce kullanılan SYSAID’deki (CVE-2023-47246) güvenlik kusurları ile, kullanıcıların örneklerini en son sürümüne güncellemesi zorunludur.