CISAは、攻撃者がSysAidのITサービス管理(ITSM)ソフトウェアに存在する2つのセキュリティ脆弱性を積極的に悪用し、管理者アカウントを乗っ取っていると警告しました。
この2つの認証不要なXML外部実体(XXE)脆弱性(CVE-2025-2775およびCVE-2025-2776)は、watchTowr Labsのセキュリティ研究者によって2024年12月に報告され、2025年3月にSysAid On-Premバージョン24.4.60のリリースで修正されました。
1か月後、watchTowr Labsは概念実証コードを公開し、SysAidの脆弱性が簡単に悪用でき、攻撃者が機密情報を含むローカルファイルを取得できることを示しました。
CISAはこれらの継続中の攻撃に関する追加情報は共有していませんが、2つの脆弱性を既知の悪用脆弱性カタログに追加し、連邦民間行政機関(FCEB)に対し、2021年11月の拘束力のある運用指令(BOD)22-01に基づき、8月12日までにシステムを修正するよう3週間の猶予を与えました。
BOD 22-01は主に米国連邦機関を対象としていますが、サイバーセキュリティ庁は民間企業を含むすべての組織に対し、これら2つの積極的に悪用されている脆弱性の修正を最優先するよう推奨しています。
「この種の脆弱性は悪意あるサイバー攻撃者による攻撃ベクトルとして頻繁に利用され、連邦組織に重大なリスクをもたらします」とCISAは警告しています。
SysAid On-Premは顧客のインフラ上でホストされ、ITチームが組織内のさまざまなサービスを管理できるようにします。Shadowserverのデータによると、数十のSysAidインスタンスが現在オンラインで公開されており、そのほとんどが北米とヨーロッパにあります。
CISAは、これら2つのセキュリティ脆弱性がランサムウェア攻撃で悪用された証拠は見つかっていないとしています。しかし、金銭目的のサイバー犯罪グループFIN11は、2023年にSysAidの脆弱性(CVE-2023-47246)を悪用し、ゼロデイ攻撃で侵害されたサーバーにClopランサムウェアを展開しました。
SysAidは世界140カ国以上で5,000社以上の顧客と1,000万人以上のユーザーを有しており、小規模企業からフォーチュン500企業まで、Xerox、IKEA、コカ・コーラ、ホンダ、ミシュラン、モトローラなど著名企業にもサービスを提供しています。
同社は本日BleepingComputerからのコメント要請には回答しませんでした。
CISOが実際に使うボードレポートデッキ
CISOは、取締役会の賛同を得るには、クラウドセキュリティがビジネス価値をどう高めるかを明確かつ戦略的に示すことが重要だと理解しています。
この無料で編集可能なボードレポートデッキは、セキュリティリーダーがリスク、影響、優先事項を明確なビジネス用語で提示するのに役立ちます。セキュリティの最新情報を有意義な会話と迅速な意思決定につなげましょう。