記事本文(要約)
サイバーセキュリティ研究者が、SysAid ITサポートソフトウェアのオンプレミス版における複数のセキュリティ欠陥について明らかにしました。これらの脆弱性は、CVE-2025-2775、CVE-2025-2776、CVE-2025-2777として追跡されており、XML外部エンティティ(XXE)インジェクションに関するもので、攻撃者がアプリケーションのXML入力の解析に介入することで、事前認証なしにリモートコード実行が可能になる恐れがあります。
具体的には、CVE-2025-2775とCVE-2025-2776は/mdm/checkinエンドポイント、CVE-2025-2777は/lshwエンドポイントにおける事前認証不要のXXEです。これらは、特別に細工されたHTTP POSTリクエストを使用することで容易に悪用され、センシティブな情報を含むローカルファイルを取得可能にします。
さらに、これらのXXE欠陥は、別の第三者が発見したCVE-2025-2778として記録されたOSコマンドインジェクションの脆弱性と組み合わせることで、リモートコード実行が達成される可能性があります。これらの脆弱性は、SysAidのバージョン24.4.60 b16で修正されました。以前もSysAidのセキュリティ欠陥がCl0pによるランサムウェア攻撃に利用されたことがあるため、ユーザーは最新バージョンに更新することが推奨されます。
※この要約はChatGPTを使用して生成されました。
公開日: Wed, 07 May 2025 17:01:00 +0530
Original URL: https://thehackernews.com/2025/05/sysaid-patches-4-critical-flaws.html
詳細な技術情報
以下は、SysAid ITサポートソフトウェアのオンプレミス版に関する複数のセキュリティ脆弱性に関する詳細な分析です。
CVE番号
- CVE-2025-2775
- CVE-2025-2776
- CVE-2025-2777
- CVE-2025-2778
脆弱性の仕組み
CVE-2025-2775、CVE-2025-2776、およびCVE-2025-2777は、いずれもXML外部実体(XXE)インジェクションによるものです。これは、攻撃者がアプリケーションのXML入力の解析に干渉することによって発生する脆弱性です。具体的には、攻撃者が悪意のあるXML実体をウェブアプリケーションに注入できるという仕組みです。
さらに、CVE-2025-2778は、オペレーティングシステムのコマンドインジェクションの脆弱性です。これらの脆弱性は、攻撃者が特定のエンドポイントへ細工されたHTTP POSTリクエストを送信することで容易に悪用できるとされています。
攻撃手法
攻撃者は、細工されたXMLデータを含むHTTP POSTリクエストを特定のエンドポイント(CVE-2025-2775とCVE-2025-2776は/mdm/checkinエンドポイント、CVE-2025-2777は/lshwエンドポイント)に送信することにより、XXEインジェクションを達成します。この結果、攻撃者は任意のファイルを読み取ったり、SQLインジェクションやSSRF攻撃を実行することが可能となります。
潜在的な影響
- 機密情報の漏洩: 攻撃者は、SysAidの管理者アカウントのユーザー名や平文のパスワードを含むローカルファイルを取得できます。
- 管理者権限の乗っ取り: 得られた情報を使用して、SysAidへの管理者権限アクセスが可能となります。
- リモートコード実行: XXE脆弱性をOSコマンドインジェクション脆弱性(CVE-2025-2778)と組み合わせることで、システム上でリモートコードを実行できます。
推奨される対策
- 即時アップデート: SysAidはバージョン24.4.60 b16でこれらの脆弱性を修正していますので、必ずアップデートすることが推奨されます。
- セキュリティ監視の強化: システムログを定期的に確認し、不審な活動を監視します。
- アクセス制御の見直し: アプリケーションやシステムの権限設定が適切かどうか再検討します。
- 内部スタッフへの啓発: セキュリティ意識の向上のため、従業員への教育やトレーニングを実施します。
