В июле 2025 года американское Агентство по кибербезопасности и инфраструктурной безопасности (CISA) привлекло внимание к двум критическим уязвимостям, обнаруженным в популярном программном обеспечении SysAid IT support. Эти проблемы безопасности были добавлены в каталог широко известных эксплуатируемых уязвимостей (KEV) на основании подтверждённых случаев активного использования уязвимостей злоумышленниками. Данная ситуация вызывает серьёзную тревогу для организаций, использующих SysAid в своей работе, особенно для государственных учреждений и крупных корпоративных структур, так как уязвимости позволяют злоумышленникам получить доступ к конфиденциальным файлам и осуществлять цепочки атак, включая Server-Side Request Forgery (SSRF). Уязвимости с идентификаторами CVE-2025-2775 и CVE-2025-2776, обе с высокой оценкой по шкале CVSS (9.3), представляют собой неправильное ограничение обработки XML external entity (XXE) в функционале обработки Checkin и Server URL, соответственно.
Такие критические баги позволяют атакующим не только получить доступ к административным правам, но и извлекать файлы с сервера. Исследования, проведённые компанией watchTowr Labs, раскрыли эти проблемы безопасности в мае 2025 года. Дополнительно была выявлена третья уязвимость – CVE-2025-2777 – которая представляет собой pre-authenticated XXE во внутреннем эндпойнте /lshw, что также повышает уровень риска проникновения злоумышленников в систему. По словам исследователей, данные уязвимости тесно связаны с уязвимостью CVE-2024-36394, найденной компанией CyberArk в июне прошлого года. Последняя представляет собой командную инъекцию, и в случае успешной эксплуатации в сочетании с XXE, это может привести к удалённому выполнению вредоносного кода на уязвимом сервере.
Несмотря на то что точные методики эксплуатации CVE-2025-2775 и CVE-2025-2776 ещё не так хорошо изучены в условиях реального мира, уже зафиксированы случаи их использования злоумышленниками, что заставляет специалистов по безопасности насторожиться и предпринимать меры защиты. Особенно это актуально для Федеральных агентств США, которые обязаны установить официальные исправления от производителя до 12 августа 2025 года. Обновление SysAid включено в релиз версии на рынке on-premise под номером 24.4.60 build 16, выпущенный в марте 2025 года.
Помимо исправления уязвимостей, обновление усиливает фильтрацию и обрабатывающие механизмы XML-сущностей, снижая возможности XXE-атак и описываемых векторах SSRF. Основная опасность уязвимостей XXE заключается в том, что они позволяют атакующим внедрять специально сформированные XML-сущности в запросы, которые, при обработке сервером, могут привести к несанкционированному доступу к локальным файлам или отправке запросов к внутренним ресурсам сети. SSRF, в свою очередь, даёт злоумышленникам возможность заставить сервер отправлять запросы к произвольным адресам, включая внутренние IP и сетевые сервисы, что часто используется для обхода межсетевых экранов и доступа к скрытым системам. Уязвимости в SysAid особенно опасны из-за широкого распространения данного ПО в сфере IT-поддержки и управления сервисными заявками как в коммерческих, так и в правительственных организациях. Известно, что SysAid используется для управления обращениями пользователей и автоматизации процессов обслуживания IT-инфраструктуры, а потому компрометация системы может привести к серьёзному ущербу, включая перехват учетных данных, утечку конфиденциальной информации и даже контроль над администрацией критических сервисов.
Кроме технической стороны вопроса, стоит отметить и человеческий фактор. Многие организации слишком медленно реагируют на безопасность и обновления программного обеспечения, что создает почву для активных атак и успешно реализуемых взломов. Поэтому специалисты настоятельно рекомендуют пользователям SysAid срочно проверить версии установленных продуктов и при необходимости выполнить обновление до исправленной версии, а также провести аудит логов и возможных признаков компрометации. Помимо установки патчей, крайне важно обеспечить комплексный подход к защите IT-инфраструктуры. Включение многоуровневых систем мониторинга, использование средств обнаружения аномалий, усиление контроля доступа и обучение сотрудников безопасным практикам помогают минимизировать риски.
В свете глобального роста числа кибератак с использованием уязвимостей в популярных утилитах рынка управления IT-сервисами, внимание к качеству программного обеспечения и своевременности обновлений становится приоритетом для любой организации. Аналитики кибербезопасности предупреждают, что подобные уязвимости, связанные с обработкой XML и возможностями SSRF, не теряют своей актуальности и будут активно использоваться злоумышленниками до тех пор, пока не будут полностью устранены. В итоге текущая ситуация с SysAid становится наглядным примером того, как ошибки в дизайне и реализации функциональности могут привести к глубокому проникновению в систему и масштабным проблемам безопасности. Важно помнить, что своевременное реагирование, правильное управление обновлениями и комплексный контроль безопасности — это ключевые элементы защиты современных корпоративных систем. Пользователи SysAid должны обнаруживать уязвимости не только через уведомления от производителей и регуляторов, но и посредством регулярных внутренних проверок и внешних аудиторов.
Таким образом, внедрение эффективных стратегий предотвращения эксплуатации уязвимостей становится неотъемлемой частью кибербезопасности бизнеса. Постоянное обучение и повышение уровня осведомлённости сотрудников, интеграция средств автоматического обнаружения и реагирования на угрозы поможет значительно снизить вероятность успешных атак. В конечном итоге, борьба с угрозами удалённого доступа и SSRF должна стать частью общей стратегии информационной безопасности и не должна игнорироваться даже в IT-поддержке и сервисных приложениях. Только так можно обеспечить надёжную защиту данных, поддержать целостность систем и сохранить репутацию организации в современном цифровом мире.
