SysAid Patches 4 Critical Flaws Enabling Pre-Auth RCE in On-Premise Version
2025/05/07 TheHackerNews — SysAid のオンプレミス版に、複数のセキュリティ上の欠陥があることを、サイバー・セキュリティ研究者たちが明らかにした。これらの脆弱性を悪用されると、昇格された権限を介して、認証を必要としないリモートコード実行が可能となり、この IT サポート・ソフトウェアに深刻なリスクが生じる。一連の脆弱性 CVE-2025-2775/CVE-2025-2776/CVE-2025-2777 は、XML External Entity (XXE) インジェクションと説明されており、アプリケーションによる XML 入力の解析に、攻撃者が干渉した場合に発生する。
それにより攻撃者は、安全が確保されない XML エンティティを Web アプリケーションに挿入することで、サーバサイド・リクエスト・フォージェリ (SSRF) 攻撃を達成し、最悪の場合には、リモートコード実行にいたる恐れがある。
watchTowr Labs の研究者である Sina Kheirkhah と Jake Knott は、3つの脆弱性について、以下のように解説している:
- CVE-2025-2775/CVE-2025-2776:”/mdm/checkin” エンドポイント内の認証済み XXE
- CVE-2025-2777:”/lshw” エンドポイント内の認証済み XXE
watchTowr Labs の説明によると、問題のエンドポイントに対して、特別に細工された HTTP POST リクエストを送信することで、これらの脆弱性の悪用は簡単に達成されるとのことだ。
これらの脆弱性の悪用に成功した攻撃者は、SysAid 独自の “InitAccount.cmd” ファイルなどの、機密情報を含むローカル・ファイルを取得する可能性を手にする。このファイルには、インストール時に作成された、管理者アカウントのユーザー名と平文のパスワードなどの情報が含まれている。
それらの情報を入手した攻撃者は、管理者権限を持つユーザーとして、SysAid での完全な管理者アクセス権を取得できる。
さらに悪いことに、発見された XXE の脆弱性には、別のオペレーティング・システムのコマンド・インジェクション脆弱性と連鎖することで、リモートコード実行を引き起こす可能性がある。このコマンド・インジェクションの脆弱性には、CVE-2025-2778 が割り当てられている。
すでに SysAid は、2025年3月上旬にオンプレミス・バージョン 24.4.60 b16 をリリースし、これらの4つの脆弱性を修正している。また、4つの脆弱性を連鎖させる、PoC エクスプロイトも公開されている。
以前においても、SysAid の脆弱性 CVE-2023-47246 が、Cl0p などのランサムウェア攻撃者によるゼロデイ攻撃で悪用されている。したがって、ユーザーにとって不可欠なことは、上記の最新バージョンへと、速やかにインスタンスを更新することだ。
SysAid の脆弱性に対する、PoC が公開されました。文中にもあるように、過去には、同製品の別の脆弱性を悪用した攻撃が発生しています (2023/11/17:SysAid の脆弱性 CVE-2023-47246:すでに Lace Tempest (Clop) が悪用を開始)。ご利用のチームは、アップデートを、お急ぎください。よろしければ、SysAid で検索 も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.