تصحيح ثغرات حرجة في SysAid تسمح بتنفيذ أوامر عن بُعد دون مصادقة

كشف باحثون في الأمن السيبراني عن وجود عدة ثغرات خطيرة في الإصدار المحلي (On-Premise) من برنامج SysAid لدعم تكنولوجيا المعلومات، تسمح لمهاجمين بتنفيذ أوامر عن بُعد (RCE) دون الحاجة إلى مصادقة مسبقة، وبصلاحيات إدارية عالية.

الثغرات المكتشفة وأرقامها المرجعية (CVE):

1. CVE-2025-2775 و CVE-2025-2776

   • نوعها: حقن كيانات XML خارجية (XXE) في نقطة النهاية .

   • تسمح بمهاجمة تزوير الطلبات من جانب الخادم (SSRF).

2. CVE-2025-2777

   • نوعها: XXE في نقطة النهاية.

   • تمكن المهاجم من قراءة ملفات حساسة من النظام.

3. CVE-2025-2778 (تم اكتشافها من طرف ثالث)

   • نوعها: حقن أوامر نظام (Command Injection).

   • عند تسلسلها مع الثغرات XXE، تسمح بتنفيذ أكواد خبيئة عن بُعد (RCE).

كيف يمكن استغلال هذه الثغرات؟

• بإرسال طلب HTTP مُعدّل (POST) إلى النقاط المتضررة، يمكن للمهاجم:

  • سرقة ملفات النظام  الذي يحتوي على اسم مستخدم وكلمة مرور المدير (مخزنة كنص واضح!).

  • الحصول على صلاحيات إدارية كاملة في SysAid.

  • تنفيذ أوامر خبيئة على الخادم عند دمج الثغرات مع CVE-2025-2778.

ملاحظة خطيرة:
تم استغلال ثغرات سابقة في SysAid (مثل CVE-2023-47246) من قبل عصابات الفدية مثل Cl0p في هجمات “صفرية” (Zero-Day).

الإصلاحات المتاحة

• أصدرت SysAid تصحيحًا عاجلًا في الإصدار 24.4.60 b16 (مارس ٢٠٢٥).

• يُنصح جميع المستخدمين بالتحديث الفوري لتجنب الاختراق.

• تم نشر أداة إثبات مفهوم (PoC) لاستغلال هذه الثغرات، مما يزيد من خطر الهجمات.