Hack Alerta

CVE-2025-51683: exploração de Mjobtime permite executar comandos via MSSQL

Por Redação Hack Alerta Publicado em 26/01/2026 05:02 Cyber ataques Tempo de leitura: 3 min

Pesquisadores da Huntress documentaram exploração ativa da CVE‑2025‑51683 em Mjobtime v15.7.2: requisições POST ao IIS habilitam xp_cmdshell no MSSQL, permitindo execução de comandos de sistema e oferecendo foothold para movimento lateral.

CVE-2025-51683: exploração de Mjobtime permite executar comandos via MSSQL

Analistas da Huntress relataram incidentes reais em que atacantes exploraram uma falha de SQL injection cega em Mjobtime v15.7.2 para ativar xp_cmdshell no MSSQL e executar comandos de sistema a partir de requisições POST no IIS. A cadeia expõe servidores de banco de dados a execução remota de comandos com as permissões do serviço.

O que foi observado em ambientes de produção

Huntress documentou três ambientes de clientes (setor de construção) comprometidos durante 2025. O padrão telemétrico inicial é repetidas requisições HTTP POST ao endpoint /Default.aspx/update_profile_Server no front‑end IIS, seguidas por instruções que ativam xp_cmdshell e invocam comandos como cmd /c net user e pings para domínios externos (ex.: oastify.com). Em outros casos os invasores tentaram baixar payloads com wget/curl.

Vetor técnico

A falha é uma SQL injection cega presente na versão 15.7.2 do Mjobtime (RCE via MSSQL). O aplicativo passa entrada sem sanitarização ao backend MSSQL, permitindo que um atacante, por meio de múltiplas requisições, manipule consultas e habilite funcionalidades administrativas do banco (xp_cmdshell). Com xp_cmdshell ativa, o servidor MSSQL permite execução de comandos do sistema com privilégios do serviço do banco.

Impacto operacional

  • Exposição de dados de projetos e folha de pagamento.
  • Capacidade de pivotar a partir do servidor de banco para hosts Windows na mesma rede.
  • Potencial instalação de backdoors, exfiltração de dados e implantação de cargas adicionais (malware/ransomware).

Detecção e indicadores

  • Requisições POST repetidas ao endpoint /Default.aspx/update_profile_Server nos logs IIS.
  • Ativação de xp_cmdshell no MSSQL e execução de comandos não usuais (net user, execução de wget/curl, pings para domínios externos).
  • Process trees e execuções que mostram chamadas ao sistema originadas pelo serviço MSSQL.

Mitigações imediatas recomendadas

  • Identificar instalações do Mjobtime e confirmar versão (15.7.2). Se presentes, isolar exposição pública do aplicativo até mitigar.
  • Se possível, aplicar correções do fornecedor; na ausência de patch, restringir acesso ao endpoint via WAF, regras de bloqueio por IP e filtros de taxa.
  • Desabilitar xp_cmdshell nos servidores MSSQL onde não é estritamente necessário e revisar permissões do serviço do banco.
  • Harden do banco: restringir contas com privilégios elevados, usar autenticação forte e registrar/alertar eventos que indiquem habilitação de procedimentos estendidos (xp_cmdshell).
  • Executar varredura de IOC e caça proativa (hunt) por comandos atípicos, conexões de saída e payloads baixados via wget/curl.

O que falta esclarecer

O artigo original não detalha resposta do desenvolvedor do Mjobtime (disponibilidade de patch ou mitigação oficial). Equipes de TI devem exigir do fornecedor um cronograma de correção e compartilhar IOCs com CSIRTs locais. Para organizações brasileiras que usem Mjobtime ou sistemas análogos, recomenda‑se priorizar inventário e segmentação de rede.

Fontes

Relato e análise da Huntress e menção a pesquisas correlatas (InfoGuard Labs) compiladas em reportagens técnicas.

Baseado em publicação original de Cyber Security News
Tags: #mjobtime #mssql #iis #cve-2025-51683 #xp_cmdshell #sql-injection #rce #construcao #hunting
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar