SysAidオンプレミス版における脆弱性4件、連鎖で認証なしRCEが可能に　PoCも公開：CVE-2025-2775他

SysAidオンプレミス版における脆弱性4件、連鎖で認証なしRCEが可能に　PoCも公開：CVE-2025-2775、CVE-2025-2776、CVE-2025-2777、CVE-2025-2778

The Hacker News – May 07, 2025

SysAid製ITサポートソフトウェアのオンプレミスバージョンに、認証なしでのリモートコード実行を可能にし得る複数の脆弱性について、watchTowr Labsの研究者らが詳しい解説とPoCエクスプロイトを公開した。

当該脆弱性はCVE-2025-2775、CVE-2025-2776、CVE-2025-2777の3件で、いずれもXML外部エンティティインジェクションの脆弱性と説明されている。これらを利用することで攻撃者は安全でないXMLエンティティをWebアプリケーションに注入することが可能になり、これによりサーバーサイドリクエストフォージェリ攻撃やリモートコード実行を行えるようになるとされる。

• CVE-2025-2775、CVE-2025-2776：/mdm/checkinエンドポイントにおける、認証前XXEの脆弱性
• CVE-2025-2777：/lshwエンドポイントにおける、認証前XXEの脆弱性

watchTowr Labsによると、当該エンドポイントへの特別に細工されたHTTP POSTリクエストを使うことで、これらの脆弱性は簡単に悪用できるという。悪用に成功すると、SysAidの管理者アカウントのユーザー名に関する情報や平文パスワードを含む「InitAccount.cmd」ファイルなどの機微な情報を含むローカルファイルを取得することが可能になる。こうした情報を攻撃者が手にすれば、管理者特権ユーザーとしてのSysAidへの完全な管理者アクセスを掌握できる恐れがあるという。

さらにこれらの脆弱性の恐ろしい点は、別のOSコマンドインジェクションの脆弱性（CVE-2025-2778）と連鎖させ、リモートコード実行に繋げることが可能である点。4件の脆弱性はいずれも、2025年3月リリースのバージョン24.4.60 b16で修正されている。SysAidの脆弱性は過去にもCl0pなどのランサムウェアアクターに悪用された事例がある（CVE-2023-47246）ことや、上記4件を連鎖させるPoCエクスプロイトがすでに公開されていることから、ユーザーには最新バージョンへの速やかなアップデートが求められている。

Eブック無料配布中：Codebook 2024 ~サイバーセキュリティ分析レポート~

Codebookの記事が、Eブックになりました。サイバーセキュリティの2024年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。

無料ダウンロードはこちらのバナーから：

目次

第1章：脅威ランドスケープの急速な変化:波乱のランサムウェア情勢と新たに報告された攻撃手法

第2章：世界情勢や地政学がサイバーセキュリティにもたらす影響

第3章：スティーラーの急成長と認証情報の漏洩が生むリスク

第4章：サプライチェーンリスク

第5章：2024 年に組織を脅かした脆弱性