紧急！SysAid On-Premise曝高危漏洞，未授权攻击可接管服务器！速修复！

PS：有内网web自动化需求可以私信

01

—

一.漏洞详情与风险分析

• CVE-2025-2775/CVE-2025-2776：位于/mdm/checkin和/mdm/serverurl端点的预认证XXE注入漏洞，允许通过恶意XML文件窃取服务器敏感数据。

• CVE-2025-2777：/lshw端点的预认证XXE漏洞，攻击者可利用其读取本地文件（如管理员明文密码文件InitAccount.cmd）。

• CVE-2025-2778：操作系统命令注入漏洞，结合上述XXE漏洞获取的管理员凭证，可直接在服务器执行恶意指令。

攻击链示例：攻击者通过XXE漏洞窃取管理员密码→登录系统→利用命令注入漏洞植入后门或部署勒索软件。

• SysAid On-Premise < 24.4.60（安全版本已于2025年3月发布）。

• 勒索软件组织活跃利用：2023年，Cl0p等组织曾通过SysAid的路径遍历漏洞（CVE-2023-47246）部署Gracewire恶意软件与Cobalt Strike后渗透工具。

• 数据泄露风险：SysAid服务器通常存储IT工单、资产清单等高敏信息，一旦失守将导致业务停摆及巨额赎金勒索。

二.修复与缓解措施

• 立即升级至SysAid On-Premise v24.4.60。

• 限制公网暴露：将SysAid实例置于内网或VPN后，仅允许可信IP访问。

• 启用多因素认证（MFA）：防止攻击者利用泄露的凭证横向移动。

• 检查日志与进程：重点关注/mdm/checkin、/lshw等端点的异常POST请求，以及服务器上未知的WebShell或恶意进程（如dllhost.exe异常行为）。

• 扫描历史版本痕迹：若曾使用旧版本（如v23.3.36以下），需排查是否存在残留攻击载荷。

三.为何必须立即行动？

1. PoC已公开：漏洞利用代码广泛传播，自动化攻击工具可能已在暗网流通。

2. 历史教训：SysAid漏洞多次成为勒索软件入口，修复延迟将直接增加被攻击概率。

3. 合规风险：未及时修补高危漏洞可能违反GDPR等数据保护法规，导致法律追责。

总结

    SysAid作为企业IT运维的核心平台，一旦遭攻击将引发“雪崩式”连锁反应。请相关用户立即升级并加固防护，同时持续监控网络异常流量。网络安全无小事，防御窗口稍纵即逝！

免责声明：

本人所有文章均为技术分享，均用于防御为目的的记录，所有操作均在实验环境下进行，请勿用于其他用途，否则后果自负。

第二十七条：任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序和工具；明知他人从事危害网络安全的活动，不得为其提供技术支持、广告推广、支付结算等帮助

第十二条：  国家保护公民、法人和其他组织依法使用网络的权利，促进网络接入普及，提升网络服务水平，为社会提供安全、便利的网络服务，保障网络信息依法有序自由流动。

任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

第十三条：  国家支持研究开发有利于未成年人健康成长的网络产品和服务，依法惩治利用网络从事危害未成年人身心健康的活动，为未成年人提供安全、健康的网络环境。