Vulnerabilidades críticas de inyección XXE en SysAid: Riesgos y mitigaciones
Recientemente se han identificado tres vulnerabilidades críticas de Inyección de Entidades Externas XML (XXE) en instancias on-premises del software de soporte IT SysAid. Estas vulnerabilidades, catalogadas como CVE-2025-2775, CVE-2025-2776 y CVE-2025-2777, representan un riesgo significativo para las organizaciones que utilizan esta plataforma, ya que podrían permitir a atacantes remotos ejecutar código arbitrario (RCE), acceder a información confidencial o provocar denegación de servicio.
¿Qué es la inyección XXE?
La Inyección de Entidades Externas XML (XXE) es una vulnerabilidad que afecta a aplicaciones que procesan datos XML. Ocurre cuando una aplicación analiza entrada XML que contiene referencias a entidades externas sin la debida validación o configuración segura. Esto puede permitir a un atacante:
- Leer archivos arbitrarios del sistema
- Realizar ataques de denegación de servicio (DoS)
- Escanear puertos internos
- En algunos casos, ejecutar código remoto
Impacto técnico de las vulnerabilidades en SysAid
Las tres vulnerabilidades descubiertas en SysAid comparten características técnicas similares pero afectan a diferentes componentes del sistema:
- CVE-2025-2775: Afecta al módulo de gestión de tickets, permitiendo la inclusión de entidades externas en las solicitudes XML.
- CVE-2025-2776: Vulnerabilidad en el componente de integración con sistemas externos.
- CVE-2025-2777: Afecta al subsistema de generación de informes.
Todas estas vulnerabilidades tienen una puntuación CVSS alta (superior a 8.5), lo que indica su criticidad. Un atacante podría explotarlas para:
- Acceder a credenciales almacenadas en el sistema
- Obtener información sensible de la organización
- Comprometer otros sistemas conectados a la red interna
- Modificar o eliminar datos críticos
Medidas de mitigación recomendadas
Las organizaciones que utilizan SysAid on-premises deben implementar inmediatamente las siguientes medidas:
- Aplicar los parches de seguridad proporcionados por el fabricante tan pronto estén disponibles.
- Configurar los procesadores XML para deshabilitar el procesamiento de entidades externas (DTD).
- Implementar listas blancas para validar estrictamente la entrada XML.
- Segmentar la red para limitar el acceso a los servidores SysAid.
- Monitorear el tráfico hacia y desde los servidores SysAid en busca de actividad sospechosa.
Implicaciones para la seguridad corporativa
Estas vulnerabilidades son particularmente preocupantes porque SysAid es utilizado frecuentemente por equipos de TI internos y proveedores de servicios gestionados (MSPs). Un ataque exitoso podría proporcionar a los atacantes acceso privilegiado a múltiples sistemas dentro de una organización, incluyendo:
- Sistemas de gestión de activos
- Bases de datos de usuarios
- Credenciales de administración remota
- Información confidencial de empleados y clientes
Las organizaciones deben priorizar la actualización de sus sistemas SysAid y considerar evaluaciones de seguridad adicionales para detectar posibles compromisos previos.
