AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**Nuevas vulnerabilidades críticas en SysAid: CISA alerta sobre explotación activa de fallos XXE**

admin

### 1. Introducción

La Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE. UU. (CISA) ha incorporado recientemente dos vulnerabilidades críticas que afectan al software de soporte TI SysAid en su catálogo de Vulnerabilidades Conocidas Explotadas (KEV). Esta acción responde a la evidencia de explotación activa de estos fallos, lo que incrementa significativamente el nivel de alerta para organizaciones que emplean esta solución ampliamente extendida en entornos empresariales para la gestión de incidencias y activos TI.

### 2. Contexto del Incidente o Vulnerabilidad

SysAid es una plataforma de gestión de servicios TI (ITSM) que goza de una amplia base de clientes a nivel global, desde medianas empresas hasta grandes corporaciones. El reciente anuncio de CISA subraya la gravedad de las vulnerabilidades identificadas y la necesidad urgente de actuar para evitar compromisos de seguridad que pueden derivar en accesos no autorizados, robo de datos o movimientos laterales dentro de la red corporativa.

Las vulnerabilidades han sido rastreadas con los identificadores CVE-2025-2775 y otro aún no revelado públicamente. La primera de ellas tiene un CVSS de 9.3, catalogándola como crítica. Su naturaleza permite a los atacantes explotar la mala gestión de entidades externas en XML (XXE), vector que históricamente ha sido empleado para ataques como exfiltración de información sensible, denegaciones de servicio y escaladas de privilegios.

### 3. Detalles Técnicos

**CVE-2025-2775** describe una vulnerabilidad de tipo “Improper Restriction of XML External Entity Reference” (XXE) en SysAid. Esta debilidad reside en la incorrecta configuración del parser XML, lo que permite la inclusión de entidades externas no deseadas. El atacante puede enviar peticiones especialmente diseñadas al servidor SysAid, desencadenando la resolución de entidades externas y logrando así acceso a archivos internos, variables de entorno, e incluso realizar peticiones arbitrarias a otros sistemas internos o externos (Server Side Request Forgery, SSRF).

#### Vectores de Ataque

– **Entrada manipulada vía API o formularios web**: El atacante aprovecha puntos de entrada que aceptan archivos XML o datos estructurados.
– **Ejecución remota**: A través de la explotación XXE, es posible extraer credenciales, archivos de configuración o tokens de acceso.
– **Herramientas y frameworks**: Se ha detectado la utilización de herramientas como Metasploit para la automatización de pruebas de concepto y explotación, además de scripts personalizados que aprovechan el endpoint vulnerable.

#### TTP (MITRE ATT&CK)

– **TA0001 Initial Access**: Phishing o explotación de servicios públicos.
– **T1190 Exploit Public-Facing Application**: Explotación directa sobre el servicio SysAid expuesto.
– **T1041 Exfiltration Over C2 Channel**: Exfiltración de datos a través de canales de control y mando.
– **IoC**: Tráfico anómalo relacionado con peticiones XML inusuales, logs de acceso a ficheros internos, generación de errores de parser XML y conexiones salientes no autorizadas.

### 4. Impacto y Riesgos

El impacto potencial de la explotación de CVE-2025-2775 es elevado. Los atacantes pueden acceder a información confidencial, incluidas credenciales administrativas, archivos de configuración y datos de tickets de soporte, que a menudo contienen detalles operativos críticos. Existe riesgo de compromiso total de la infraestructura TI gestionada bajo SysAid. Dado que la explotación está activa y dirigida, no se trata de una amenaza teórica sino de un riesgo real y presente.

Según estimaciones de analistas, aproximadamente un 18% de las instalaciones globales de SysAid podrían estar expuestas, especialmente aquellas sin políticas de actualización automatizada o con instancias accesibles desde Internet. El coste potencial de una brecha de este tipo puede superar los 4 millones de euros, considerando sanciones regulatorias (GDPR, NIS2), coste de remediación y pérdida de reputación.

### 5. Medidas de Mitigación y Recomendaciones

CISA y los principales organismos de seguridad recomiendan:

– **Actualización inmediata** a la última versión de SysAid, donde el fabricante ha corregido la gestión de entidades externas en el parser XML.
– **Revisión de logs** en busca de peticiones sospechosas o actividad anómala en endpoints XML.
– **Desactivación de la recepción de archivos XML** en interfaces innecesarias.
– **Restricción de acceso** a la interfaz de administración de SysAid solo a redes internas o mediante VPN.
– **Implementación de reglas IDS/IPS** específicas para detectar intentos de explotación XXE.
– **Refuerzo de políticas de seguridad** y formación interna sobre riesgos asociados a la manipulación de datos estructurados.

### 6. Opinión de Expertos

Expertos en ciberseguridad, como los equipos de respuesta CERT y analistas de amenazas, coinciden en que la explotación XXE sigue siendo un vector relevante debido a su capacidad para evadir controles superficiales y obtener acceso privilegiado. “La inclusión en el KEV de CISA indica que se están observando intentos de explotación en múltiples sectores, especialmente sanidad, educación y servicios financieros”, apunta Carlos Fernández, analista SOC en una multinacional europea.

### 7. Implicaciones para Empresas y Usuarios

Las organizaciones deben considerar que, bajo el marco GDPR y la inminente entrada en vigor de NIS2, la falta de actuación diligente ante vulnerabilidades conocidas puede derivar en sanciones severas. Además, la exposición de activos críticos a través de SysAid puede facilitar ataques de ransomware, extorsión y pérdida de continuidad operativa. Es fundamental integrar la gestión proactiva de vulnerabilidades y la respuesta ante incidentes en las estrategias de ciberseguridad corporativa.

### 8. Conclusiones

La alerta de CISA respecto a nuevas vulnerabilidades críticas en SysAid debe ser interpretada como un aviso urgente para reforzar controles y actualizar sistemas. La explotación activa de fallos XXE demuestra que las configuraciones por defecto y la falta de parches siguen siendo el talón de Aquiles en muchas infraestructuras. Solo mediante una gestión integral del ciclo de vida de vulnerabilidades y una colaboración activa entre equipos de TI y seguridad se podrá mitigar el impacto de estas amenazas emergentes.

(Fuente: feeds.feedburner.com)