أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ثغرتين أمنيتين تؤثران على برنامج الدعم الفني SysAid إلى كتالوج الثغرات المستغلة فعليًا (KEV)، وذلك استنادًا إلى أدلة تثبت وقوع استغلال نشط لهما.
تفاصيل الثغرات الأمنية
تشمل الثغرتان الأمنيتان ما يلي:
-
CVE-2025-2775 (بدرجة CVSS: 9.3): ضعف في تقييد الإشارات إلى الكيانات الخارجية في XML (XXE) في وظيفة معالجة “Checkin”، ما يتيح للمهاجمين الاستيلاء على حسابات المدير وقراءة الملفات.
-
CVE-2025-2776 (بدرجة CVSS: 9.3): نفس نوع الضعف في وظيفة معالجة “Server URL”، ويؤدي إلى نفس النتائج من حيث السيطرة على حساب المدير والوصول إلى الملفات.
وقد تم الكشف عن كلتا الثغرتين من قبل الباحثين في watchTowr Labs، سينا خيرخواه وجيك نوت، في مايو الماضي، إلى جانب ثغرة ثالثة هي CVE-2025-2777 (بدرجة CVSS: 9.3)، والتي تمثل هجوم XXE غير مصادق عليه مسبقًا ضمن نقطة النهاية /lshw.
إصلاحات سابقة وتحذيرات حالية
عالجت شركة SysAid هذه الثغرات في النسخة المحلية (on-premise) الإصدار 24.4.60 البناء 16، والذي تم إطلاقه في أوائل مارس 2025.
وأشارت شركة الأمن السيبراني إلى أن هذه الثغرات قد تمكّن المهاجمين من حقن كيانات XML غير آمنة ضمن التطبيق، مما يؤدي إلى تنفيذ هجمات Server-Side Request Forgery (SSRF)، وفي بعض الحالات إلى تنفيذ تعليمات برمجية عن بُعد إذا تم ربطها مع الثغرة CVE-2024-36394، وهي ثغرة تنفيذ أوامر كشفت عنها شركة CyberArk في يونيو 2024.
نطاق الاستغلال والجهات الفاعلة غير معلومين
حتى الآن، لا توجد معلومات مؤكدة حول طريقة استغلال الثغرتين CVE-2025-2775 وCVE-2025-2776 في الهجمات الواقعية، كما لم تُعرف هوية الجهات المهاجمة أو أهدافها أو نطاق الهجمات.
الإجراءات الوقائية المطلوبة
طالبت CISA جميع الوكالات التابعة للفرع التنفيذي المدني الفيدرالي (FCEB) بتطبيق التصحيحات الأمنية اللازمة قبل تاريخ 12 أغسطس 2025، لتقليل خطر الاستغلال النشط لهذه الثغرات.
