นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยช่องโหว่ด้านความปลอดภัยหลายรายการในซอฟต์แวร์ที่สนับสนุนด้าน IT support ของ SysAid ในเวอร์ชัน on-premise ที่สามารถถูกโจมตีเพื่อทำให้เกิดการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลโดยไม่ต้องผ่านการยืนยันตัวตน (pre-authenticated remote code execution) และได้รับสิทธิ์ระดับสูงในระบบ (elevated privileges)
ช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-2775, CVE-2025-2776 และ CVE-2025-2777 ช่องโหว่ทั้งหมดถูกระบุว่าเป็นช่องโหว่แบบ XML External Entity (XXE) injections ซึ่งจะเกิดขึ้นก็ต่อเมื่อผู้โจมตีสามารถแทรกแซงการประมวลผลข้อมูล XML ที่ถูกอินพุตเข้าสู่แอปพลิเคชันได้สำเร็จ
การโจมตีดังกล่าวอาจทำให้ผู้โจมตีสามารถแทรก XML entities ที่ไม่ปลอดภัยเข้าไปในเว็บแอปพลิเคชันได้ ทำให้สามารถทำการโจมตีแบบ Server-Side Request Forgery (SSRF) และในกรณีที่ร้ายแรงที่สุดอาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution)
คำอธิบายของช่องโหว่ทั้งสามรายการ ตามที่ Sina Kheirkhah และ Jake Knott นักวิจัยจาก watchTowr Labs ได้ระบุไว้ มีรายละเอียดดังนี้ :
- CVE-2025-2775 และ CVE-2025-2776 – ช่องโหว่ pre-authenticated XXE บน endpoint /mdm/checkin
- CVE-2025-2777 – ช่องโหว่ pre-authenticated XXE บน endpoint /lshw
watchTowr Labs ระบุว่า ช่องโหว่เหล่านี้สามารถถูกโจมตีได้อย่างง่ายดาย โดยการส่ง HTTP POST request ที่ถูกสร้างขึ้นมาเป็นพิเศษ ไปยัง endpoint ดังกล่าว
หากการโจมตีสำเร็จ ผู้โจมตีอาจสามารถดึงข้อมูลไฟล์ภายในเครื่องที่มีข้อมูลสำคัญออกมาได้ ซึ่งรวมถึงไฟล์ “InitAccount.cmd” ของ SysAid ที่มีข้อมูลเกี่ยวกับชื่อผู้ใช้ และรหัสผ่านของบัญชีผู้ดูแลระบบในรูปแบบ plaintext ที่ถูกสร้างขึ้นในระหว่างการติดตั้ง
เมื่อได้ข้อมูลดังกล่าวแล้ว ผู้โจมตีก็จะสามารถเข้าถึงระบบ SysAid ได้อย่างเต็มรูปแบบในฐานะผู้ใช้ที่มีสิทธิ์ระดับผู้ดูแลระบบ
ที่เลวร้ายไปกว่านั้น ช่องโหว่ XXE เหล่านี้ยังสามารถนำไปใช้ร่วมกับช่องโหว่ประเภท command injection บนระบบปฏิบัติการอีกรายการหนึ่ง ซึ่งถูกค้นพบโดยบริษัท third-party ที่อาจทำให้เกิดการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-2778
SysAid ได้แก้ไขช่องโหว่ทั้ง 4 รายการนี้ไปเรียบร้อยแล้วในการอัปเดตเวอร์ชัน on-premise 24.4.60 b16 เมื่อช่วงต้นเดือนมีนาคม 2025 และมีการเผยแพร่โค้ดตัวอย่างที่ใช้ในการโจมตี (proof-of-concept - PoC) ของช่องโหว่ทั้ง 4 รายการนี้อีกด้วย
เนื่องจากช่องโหว่ด้านความปลอดภัยใน SysAid (CVE-2023-47246) เคยถูกกลุ่ม Cl0p ransomware นำไปใช้ในการโจมตีแบบ zero-day มาก่อน จึงแนะนำผู้ใช้ควรเร่งอัปเดตระบบของตนให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด
ที่มา : thehackernews
You must be logged in to post a comment.