Hai lỗ hổng XML External Entity (XXE) chưa được xác thực, với mã định danh là CVE-2025-2775 và CVE-2025-2776, đã được các nhà nghiên cứu bảo mật của công ty an ninh mạng watchTowr (Singapore) báo cáo vào tháng 12/2024. Các lỗ hổng này sau đó được vá vào tháng 3/2025, với việc phát hành SysAid On-Prem phiên bản 24[.]4[.]60.

Một tháng sau, watchTowr cũng công bố bằng chứng khái niệm (PoC), cho thấy lỗ hổng SysAid rất dễ khai thác và cho phép kẻ tấn công truy xuất các tệp cục bộ chứa dữ liệu nhạy cảm.

Mặc dù CISA không chia sẻ thêm bất kỳ thông tin chi tiết nào liên quan đến các cuộc tấn công đang diễn ra này, nhưng họ đã thêm các lỗ hổng bảo mật vào Danh mục lỗ hổng khai thác đã biết (KEV). Cơ quan này đưa ra cảnh báo: “Những loại lỗ hổng bảo mật này thường là mục tiêu tấn công của tin tặc và gây ra rủi ro đáng kể cho các doanh nghiệp”.

SysAid On-Prem được lưu trữ trên cơ sở hạ tầng của khách hàng, cho phép các nhóm quản trị viên quản lý nhiều dịch vụ khác nhau trong một tổ chức. Theo dữ liệu từ tổ chức thu thập và chia sẻ thông tin về mối đe dọa mạng Shadowserver, hàng chục phiên bản SysAid hiện đang được công khai trực tuyến, hầu hết đến từ Bắc Mỹ và châu Âu.

Máy chủ SysAid bị rò rỉ (Shadowserver)

CISA không tìm thấy bằng chứng nào cho thấy các lỗ hổng bảo mật này đã bị khai thác trong các cuộc tấn công mã độc tống tiền. Tuy nhiên, trước đó nhóm tội phạm mạng FIN11 đã từng khai thác lỗ hổng SysAid (CVE-2023-47246) vào năm 2023, nhằm triển khai mã độc tống tiền Clop trên các máy chủ bị xâm nhập.

SysAid hiện có hơn 5.000 khách hàng và hơn 10 triệu người dùng trên 140 quốc gia trên toàn thế giới, phục vụ nhiều đối tượng khác nhau, từ các doanh nghiệp nhỏ đến các doanh nghiệp nằm trong danh sách Fortune 500, bao gồm các công ty nổi tiếng như Xerox, IKEA, Coca-Cola, Honda, Michelin và Motorola.