セキュリティ研究者は、CVE-2025-57738に関する完全な技術詳細と実働のProof-of-Concept(PoC)エクスプロイトをリリースしました。これはApache Syncopeの高い深刻度を持つリモートコード実行(RCE)脆弱性です。Apache Syncopeは企業および政府機関全体で広く導入されているオープンソースのアイデンティティ管理プラットフォームです。
CVE-2025-57738として追跡され、CVSSスコア7.2(高)のこの欠陥は、Apache SyncopeがGroovyベースの実装をどのように処理するかに存在します。
脆弱なバージョン(すべての2.xビルド、3.0.14より前の3.x、および4.0.2より前の4.x)では、プラットフォームのImplementationManagerは、サンドボックスなし、CompilerConfigurationなし、および抽象構文木(AST)制限なしの裸のGroovyClassLoaderを使用してGroovyコードをコンパイルします。
認証済みの管理者は、static { }初期化子ブロックを含む悪意のあるGroovyクラスをアップロードできます。
このブロックはコンパイル時に実行されます。インターフェース検証前のため、攻撃者にRuntime.exec()、ProcessBuilder、File、およびSocketを含むJVM API表面全体への無制限なアクセスを与えます。Syncopeがrootとしてコンテナ化されたデプロイメントでは、攻撃者は完全なシステムレベルの制御を獲得します。
根本原因はCWE-653:不適切な分離またはコンパートメント化として分類されており、3つの複合的な障害に由来しています:CompilerConfigurationの欠落、チェックされていない静的初期化子の副作用、および完全なJVM権限継承です。
SecureLayer7の研究者yosef0x01は、2026年4月20日に技術的な詳細がライブになった約3時間後に、GitHubで完全なPoC エクスプロイトを公開しました。
エクスプロイトスクリプトはSyncope REST APIに認証し、悪意のあるGroovyペイロードを作成し、POST /syncope/rest/implementations/COMMAND/{key}を介して新しい実装としてアップロードします。
コードはGroovyClassLoader.parseClass()中に実行されます。サーバが最終的にエラーレスポンスを返した場合でも実行されます。
確認されたoutput uid=0(root) gid=0(root)はコンテナ内での無制限なコード実行を示しています。エクスプロイトには、実行後にアップロードされた実装を削除する自動クリーンアップステップも含まれています。
パッチと緩和策
ApacheはSyncope 3.0.14および4.0.2でCVE-2025-57738に対処しました。Jenkinsのスクリプトセキュリティインフラストラクチャを使用して、多層のGroovyサンドボックスを実装することで。
修正はSecureASTCustomizer、SandboxTransformer、およびProcessBuilder、Runtime.exec()、File、Socket、およびreflectionを含む危険なAPIをブロックするランタイムブラックリストを導入します。
組織は修正されたバージョンにすぐにアップグレードする必要があります。管理者は、実装管理権限を持つアカウントが完全な管理者アクセスなしでも同等のリスクにあるため、委任された管理者アカウントを監査する必要があります。
デフォルト認証情報(admin:password)を使用しているデプロイメントは、特に高いエクスプロイトリスクに曝されています。
これは Apache Syncopeで発見された最初のRCEではありません。プラットフォームは同様の問題の文書化された歴史があります:
- CVE-2023-26360 – サーバ側テンプレートインジェクション経由の認証されていないRCE
- CVE-2024-27348 – Apache OFBiz統合経由のRCE
- CVE-2024-54676 – ハードコードされたAESキー経由の権限昇格
- CVE-2024-52012 – さらなるREST APIの悪用ベクトル
Syncopeの拡張性レイヤーにおけるコード注入脆弱性の繰り返されるパターンは、ユーザーが提供したコードがコンパイルまたはランタイムで実行される場合は常に、厳密なサンドボックス化の必要性を強調しています。
翻訳元: https://gbhackers.com/apache-syncope-rce-vulnerability/
