2025年7月23日Ravie Lakshmanan脆弱性 / ソフトウェアセキュリティ
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、SysAidのITサポートソフトウェアに影響を及ぼす2つのセキュリティ脆弱性を、積極的な悪用の証拠に基づき、既知の悪用された脆弱性(KEV)カタログに追加しました。
問題となっている脆弱性は以下の通りです。
- CVE-2025-2775(CVSSスコア:9.3)- Checkin処理機能におけるXML外部エンティティ(XXE)参照の不適切な制限の脆弱性。管理者アカウントの乗っ取りやファイル読み取りが可能となる。
- CVE-2025-2776(CVSSスコア:9.3)- Server URL処理機能におけるXML外部エンティティ(XXE)参照の不適切な制限の脆弱性。管理者アカウントの乗っ取りやファイル読み取りが可能となる。
これら2つの脆弱性は、CVE-2025-2777(CVSSスコア:9.3、/lshwエンドポイントにおける認証前のXXE)とともに、watchTowr Labsの研究者Sina Kheirkhah氏とJake Knott氏によって5月に公開されました。
これら3つの脆弱性は、SysAidのオンプレミス版24.4.60 build 16(2025年3月初旬リリース)で修正されています。
サイバーセキュリティ企業によると、これらの脆弱性は攻撃者がWebアプリケーションに安全でないXMLエンティティを注入することを可能にし、サーバーサイドリクエストフォージェリ(SSRF)攻撃や、CVE-2024-36394(2024年6月にCyberArkが明らかにしたコマンドインジェクションの脆弱性)と組み合わせることでリモートコード実行が発生する場合もあります。
CVE-2025-2775およびCVE-2025-2776が実際の攻撃でどのように悪用されているかは現在のところ不明です。また、脅威アクターの身元や最終的な目的、これらの攻撃の規模に関する情報もありません。
この脅威から身を守るため、連邦民間行政機関(FCEB)は2025年8月12日までに必要な修正を適用することが求められています。
翻訳元: https://thehackernews.com/2025/07/cisa-warns-sysaid-flaws-under-active.html