CISAは火曜日、最近修正されたSysAid On-Premの2つの脆弱性を、既知の悪用された脆弱性(KEV)カタログに追加しました。
これらの脆弱性はCVE-2025-2776およびCVE-2025-2775として追跡されており、SysAidがITサービス管理(ITSM)ソフトウェアのバージョン24.4.60をリリースした2024年3月初旬に修正されました。
これらのセキュリティホールはXXE(XML外部実体参照)問題として説明されており、2024年12月にセキュリティ企業WatchTowrによって発見されました。WatchTowrは詳細を公開し、2025年5月にPoC(概念実証)エクスプロイトコードを公開しました。
WatchTowrは当時、これらの脆弱性が、別の研究者によって以前に発見されたOSコマンドインジェクション問題であるCVE-2024-36394と組み合わせて、認証されていないリモートコマンド実行が可能になると警告していました。
ベンダーによると、SysAidのITSM製品は世界中で1,000万人のユーザーに利用されていますが、公開時点でShadowserver Foundationはインターネットに公開された脆弱なインスタンスが77件しかないことを確認しました。
CVE-2025-2776およびCVE-2025-2775の悪用に関する公的な報告は現時点では存在しないようです。
興味深いことに、CVE-2025-2776およびCVE-2025-2775はいずれも認証前のXXE脆弱性であり、WatchTowrのエクスプロイトチェーンで認証されていないリモートコマンド実行に使用されたCVE-2024-36394は、CISAのKEVには追加されていません。
SecurityWeekは、攻撃の詳細確認のためWatchTowrおよびSysAidに問い合わせており、回答があれば本記事を更新します。
広告。スクロールして記事の続きをお読みください。
CISAのKEVエントリによると、これらの脆弱性がランサムウェア攻撃に利用された形跡はありません。
しかし、SysAid製品の脆弱性をランサムウェアグループが悪用することは珍しいことではありません。2023年には、Cl0pランサムウェアオペレーションの関係者が、CVE-2023-47246として追跡されるゼロデイ脆弱性を悪用していたことが確認されています。
翻訳元: https://www.securityweek.com/cisa-warns-of-sysaid-vulnerability-exploitation/