概要
米国CISAが悪用を確認した脆弱性をカタログに追加しました。
早急に対策を実行されることをお勧めします。
① CVE-2024-4879
ServiceNow Improper Input Validation Vulnerability
ServiceNow Utah、Vancouver、およびWashington DC Nowには、UIマクロにおけるJelly テンプレートインジェクションの脆弱性が含まれています。認証されていない攻撃者により、リモートからコード実行される恐れがあります。
「CVSSv3.1」ベーススコア「9.8」
重要度「クリティカル(Critical)」
※脆弱性の報告者より詳細が公開されており、「CVE-2024-4879」については実証コード(PoC)や、脆弱性があるインスタンスを探索し、情報を抜き出すスクリプトなども出回っている。
https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1645154
② CVE-2024-5217
ServiceNow Incomplete List of Disallowed Inputs Vulnerability
ServiceNow Washington DC、Vancouver、およびそれ以前のNow Platformリリースには、GlideExpressionスクリプトに不完全な禁止入力リストの脆弱性が含まれています。認証されていない攻撃者により、リモートからコード実行される恐れがあります。
「CVSSv3.1」ベーススコア「9.8」
重要度「クリティカル(Critical)」
https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1648313
③ CVE-2023-45249
Acronis Cyber Infrastructure (ACI) Insecure Default Password Vulnerability
Acronis Cyber Infrastructure (ACI) は、デフォルトパスワードを使用している場合、認証されていない攻撃者により、リモートからコマンド実行される恐れがあります。
「CVSSv3.1」ベーススコア「4.9」
重要度「中間(Midium)」
https://security-advisory.acronis.com/advisories/SEC-6452
期待されるアクション
「同Utah」「同Vancouver」「同Washington DC」では、6月にリリースしたパッチなどでこれら脆弱性に対処しており、できるだけ早急にアップデートするよう呼びかけている。
対象パッチ
脆弱性の詳細報告
成功した場合の被害1
jellyによるUIページに対する意図しないタイトル文字列の挿入の可能性
成功した場合の被害2
上記インジェクションをバイパスしたコード実行の可能性
以下のように意図しないコード実行がなされます。
成功した場合の被害3
攻撃者はユーザーリストとアカウント認証情報をダンプの可能性
Resecurity によると、ほとんどの場合、これらはハッシュ化されていましたが、侵害されたインスタンスの一部ではプレーンテキストの認証情報が露出していました。
参考記事
1.ServiceNowの「Now Platform」に深刻な脆弱性 - アップデートの実施を-2024.07.12
2.「ServiceNow」の脆弱性狙う攻撃が発生中 - 攻撃試行も観測-2024.07.30
3.CISA Adds Three Known Exploited Vulnerabilities to Catalog-2024.07.29
4.Critical ServiceNow RCE flaws actively exploited to steal credentials
5.Chaining Three Bugs to Access All Your ServiceNow Data