Source: https://thehackernews.com/2025/07/cisa-warns-sysaid-flaws-under-active.html
🛡 概要
米国サイバーセキュリティインフラセキュリティ庁(CISA)は、SysAid ITサポートソフトウェアに影響を与える2つのセキュリティ脆弱性を、既知の悪用脆弱性(KEV)カタログに追加しました。これらの脆弱性は、実際の悪用の証拠に基づいており、特に注意が必要です。具体的には、CVE-2025-2775およびCVE-2025-2776が挙げられます。これらは、XML外部エンティティ(XXE)に関連する不適切な制限によって、管理者アカウントの乗っ取りやファイルの読み取りが可能になるものです。
🔍 技術詳細
具体的な脆弱性について見ていきましょう。CVE-2025-2775(CVSSスコア: 9.3)は、Checkin処理機能におけるXXE参照の不適切な制限に起因し、管理者アカウントの乗っ取りやファイルの読み取りを可能にします。同様に、CVE-2025-2776(CVSSスコア: 9.3)も、サーバーURL処理機能における同様の脆弱性です。また、CVE-2025-2777(CVSSスコア: 9.3)は、/lshwエンドポイントにおける未認証XXEであり、これらの脆弱性は連携することで、リモートコード実行を引き起こす可能性があります。これらの脆弱性は、SysAidのオンプレミス版24.4.60ビルド16で対処されています。
⚠ 影響
これらの脆弱性が悪用されると、攻撃者はWebアプリケーションに安全でないXMLエンティティを注入し、サーバーサイドリクエストフォージェリ(SSRF)攻撃を引き起こす可能性があります。また、CVE-2024-36394というコマンドインジェクションの脆弱性と連携した場合には、リモートコード実行も可能になります。現在、CVE-2025-2775およびCVE-2025-2776が実際の攻撃でどのように悪用されているかは不明であり、脅威行為者の特定や目的、規模に関する情報もありません。
🛠 対策
FCEB(連邦市民執行機関)機関は、2025年8月12日までに必要な修正を適用することが求められています。SysAidのユーザーは、最新のパッチを適用し、セキュリティの強化を図ることが重要です。また、脆弱性が悪用される前に、システムの監視を強化し、不審なアクティビティに対する警戒を怠らないことが必要です。これにより、潜在的な攻撃からの防御を強化し、情報セキュリティを確保することができます。
