紧急!SysAid On-Premise曝高危漏洞,未授权攻击可接管服务器!速修复!

admin 2025年5月8日09:21:28评论66 views字数 1738阅读5分47秒阅读模式

 RCE又来了。

紧急!SysAid On-Premise曝高危漏洞,未授权攻击可接管服务器!速修复!

紧急!SysAid On-Premise曝高危漏洞,未授权攻击可接管服务器!速修复!

PS:有内网web自动化需求可以私信

01

导语

    近日,IT服务管理平台SysAid On-Premise(本地部署版)被曝存在4个高危漏洞,攻击者无需身份验证即可远程执行任意代码(RCE),直接控制目标服务器。安全团队watchTowr Labs已公开漏洞细节及利用链的PoC代码,且勒索软件组织曾多次针对SysAid发起攻击,企业需立即升级至安全版本。
紧急!SysAid On-Premise曝高危漏洞,未授权攻击可接管服务器!速修复!

一.漏洞详情与风险分析

1. 漏洞列表与危害

  • CVE-2025-2775/CVE-2025-2776:位于/mdm/checkin/mdm/serverurl端点的预认证XXE注入漏洞,允许通过恶意XML文件窃取服务器敏感数据。

  • CVE-2025-2777/lshw端点的预认证XXE漏洞,攻击者可利用其读取本地文件(如管理员明文密码文件InitAccount.cmd)。

  • CVE-2025-2778:操作系统命令注入漏洞,结合上述XXE漏洞获取的管理员凭证,可直接在服务器执行恶意指令。

攻击链示例攻击者通过XXE漏洞窃取管理员密码→登录系统→利用命令注入漏洞植入后门或部署勒索软件。

2. 受影响版本

  • SysAid On-Premise < 24.4.60(安全版本已于2025年3月发布)。

3. 已观测到的威胁

  • 勒索软件组织活跃利用:2023年,Cl0p等组织曾通过SysAid的路径遍历漏洞(CVE-2023-47246)部署Gracewire恶意软件与Cobalt Strike后渗透工具。

  • 数据泄露风险:SysAid服务器通常存储IT工单、资产清单等高敏信息,一旦失守将导致业务停摆及巨额赎金勒索。

二.修复与缓解措施

1. 紧急升级

  • 立即升级至SysAid On-Premise v24.4.60

2. 网络防护建议

  • 限制公网暴露:将SysAid实例置于内网或VPN后,仅允许可信IP访问。

  • 启用多因素认证(MFA):防止攻击者利用泄露的凭证横向移动。

3. 应急排查

  • 检查日志与进程:重点关注/mdm/checkin/lshw等端点的异常POST请求,以及服务器上未知的WebShell或恶意进程(如dllhost.exe异常行为)。

  • 扫描历史版本痕迹:若曾使用旧版本(如v23.3.36以下),需排查是否存在残留攻击载荷。

三.为何必须立即行动?

  1. PoC已公开:漏洞利用代码广泛传播,自动化攻击工具可能已在暗网流通。

  2. 历史教训:SysAid漏洞多次成为勒索软件入口,修复延迟将直接增加被攻击概率。

  3. 合规风险:未及时修补高危漏洞可能违反GDPR等数据保护法规,导致法律追责。

总结

    SysAid作为企业IT运维的核心平台,一旦遭攻击将引发“雪崩式”连锁反应。请相关用户立即升级并加固防护,同时持续监控网络异常流量。网络安全无小事,防御窗口稍纵即逝!

免责声明:

本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负。

第二十七条:任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序和工具;明知他人从事危害网络安全的活动,不得为其提供技术支持、广告推广、支付结算等帮助

第十二条:  国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。

任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

第十三条:  国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。

原文始发于微信公众号(道玄网安驿站):紧急!SysAid On-Premise曝高危漏洞,未授权攻击可接管服务器!速修复!

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月8日09:21:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   紧急!SysAid On-Premise曝高危漏洞,未授权攻击可接管服务器!速修复!https://cn-sec.com/archives/4040699.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息