A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu um alerta crítico de segurança que colocou equipes de TI e segurança digital em estado de atenção máxima. O motivo? A exploração ativa de duas falhas críticas no SysAid, uma popular solução de gerenciamento de serviços de TI (ITSM) utilizada por grandes corporações em todo o mundo.
Essas vulnerabilidades no SysAid, identificadas como CVE-2025-2775 e CVE-2025-2776, estão sendo utilizadas por agentes maliciosos para comprometer servidores expostos. O impacto potencial é severo: desde acesso a arquivos sensíveis até o sequestro total de contas administrativas. Este artigo explica em detalhes essas falhas, o risco que representam, a gravidade do alerta da CISA e, sobretudo, o que você precisa fazer agora para proteger sua infraestrutura.
Com mais de 5.000 empresas-clientes, incluindo nomes como Coca-Cola e Honda, qualquer falha no SysAid representa um risco relevante à cadeia global de software — inclusive no Brasil.
O que são as vulnerabilidades do SysAid?
As falhas identificadas como CVE-2025-2775 e CVE-2025-2776 afetam diretamente a versão SysAid On-Prem e, segundo especialistas, podem ser exploradas de forma remota e sem autenticação.
Entendendo o ataque: falhas de XXE
Ambas as vulnerabilidades estão associadas a falhas de XXE (XML External Entity). Esse tipo de falha ocorre quando um sistema processa entradas XML maliciosas que incluem referências externas. Em ataques bem-sucedidos, o invasor pode explorar essa brecha para ler arquivos confidenciais no servidor, como arquivos de configuração ou bancos de dados que contenham credenciais de administrador, tokens de autenticação e chaves de API.
A exploração de uma XXE pode ainda ser um ponto de partida para movimentações laterais dentro do sistema, além de facilitar ataques de negação de serviço (DoS) ou exfiltração de dados sigilosos.
O objetivo dos invasores: sequestro de contas de administrador
De acordo com análises divulgadas pelo watchTowr Labs, os invasores buscam escalar seus privilégios após explorar a falha XXE. O objetivo principal é o sequestro de contas administrativas, o que lhes confere acesso completo ao ambiente de gerenciamento de serviços de TI (ITSM).
Com esse controle, é possível alterar configurações críticas, interceptar tickets de suporte, desativar alertas de segurança e até plantar backdoors persistentes para futuras invasões.
O alerta da CISA e a inclusão no catálogo KEV
A gravidade do caso se intensificou com a inclusão dessas falhas no Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA, um banco de dados que lista vulnerabilidades que estão comprovadamente sendo exploradas ativamente por agentes maliciosos.
A inclusão no KEV não é simbólica: ela implica uma obrigação legal imediata para todas as agências federais dos EUA sob a diretriz Binding Operational Directive (BOD) 22-01. Nesse caso, a data-limite para correção foi fixada em 12 de agosto de 2025.
Embora essa diretriz se aplique a órgãos federais, a CISA incentiva fortemente que todas as organizações do setor privado e público ao redor do mundo apliquem as correções com a mesma urgência. Afinal, os agentes de ameaça não distinguem fronteiras.
Ação imediata: como proteger seus sistemas
Para administradores e equipes de TI, o caminho para a mitigação é claro e direto:
- ✅ Atualize imediatamente para o SysAid On-Prem versão 24.4.60, que contém os patches que corrigem as falhas CVE-2025-2775 e CVE-2025-2776.
- 🔍 Verifique a versão instalada acessando o painel de administração do SysAid.
- 🛡️ Implemente camadas adicionais de proteção, como filtros de entrada XML e firewalls de aplicação web (WAF).
- 🧾 Esteja atento a indicadores de comprometimento (IoCs) que podem ser divulgados nas próximas semanas por fornecedores ou órgãos de segurança.
- 📜 Revise as configurações de autenticação e privilégios, garantindo que apenas usuários autorizados tenham acesso a recursos sensíveis do sistema.
A não aplicação dos patches deixa o sistema altamente vulnerável a ataques automatizados e direcionados.
Histórico preocupante: SysAid já foi alvo do ransomware Clop
Este não é o primeiro alerta de segurança envolvendo o SysAid. Em 2023, a plataforma foi alvo de um ataque sofisticado realizado pelo grupo de ransomware Clop, que explorou a falha CVE-2023-47246. Na ocasião, os criminosos conseguiram comprometer sistemas críticos de organizações ao redor do mundo.
O incidente de 2023 demonstrou que o SysAid é uma ferramenta visada por cibercriminosos, especialmente por seu uso comum em ambientes corporativos e governamentais. Isso reforça a necessidade de monitoramento contínuo e gestão ativa de patches por parte das equipes de segurança.
Conclusão: a urgência da gestão de patches
Duas falhas críticas. Exploração ativa e confirmada. Um software amplamente utilizado em ambientes corporativos sensíveis. A combinação desses fatores faz deste um alerta de segurança que não pode ser ignorado.
Não espere se tornar uma estatística. Se sua organização utiliza o SysAid On-Prem, a hora de auditar e atualizar seus sistemas é agora. Verifique sua versão e aplique o patch de segurança sem demora. A resposta rápida pode evitar prejuízos financeiros, danos à reputação e interrupções operacionais severas.
