Zum Inhalt springen
Einblicke für Analysten: Laden Sie noch heute Ihr Exemplar des Gartner® Hype Cycle™ for Security Operations, 2024 Reports herunter! | Bericht abrufen
Beratung

1. August 2024 Hinweis: Mehrere ServiceNow Server-Side Template Injection Schwachstellen [CVE-2024-4879, CVE-2024-5178 & CVE-2024-5217]

Datum der Offenlegung: 28. Mai 2024

CVE-ID und CVSS-Score:

  • CVE-2024-4879: CVSS 9.3
  • CVE-2024-5178: CVSS 6.9
  • CVE-2024-5217: CVSS 9.2

Name und Beschreibung des Problems: Mehrere ServiceNow Server-Side Template Injection-Schwachstellen

Asset-Beschreibung: ServiceNow ist eine beliebte Cloud-basierte Plattform für IT-Servicemanagement-, Betriebsmanagement- und Geschäftsverwaltungslösungen. Diese Schwachstellen betreffen nicht gehostete ServiceNow-Instanzen mit den Plattformversionen Vancouver, Washington DC und Utah Now. ServiceNow berichtet, dass gehostete Instanzen automatisch gepatcht wurden.

CVE Betroffene Releases Anbieterberatung
CVE-2024-4879 Vancouver und Washington DC Jetzt Plattformfreigaben https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1645154
CVE-2024-5178 Washington DC, Vancouver, und Utah Jetzt Plattformveröffentlichungen https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1648312
CVE-2024-5217

 

Washington DC, Vancouver, und frühere Veröffentlichungen der Now Platform https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1648313

Auswirkungen der Schwachstelle: Ein Bedrohungsakteur könnte diese Schwachstellen ausnutzen, um beliebigen Code auf den betroffenen ServiceNow-Instanzen auszuführen, was zu einer vollständigen Kompromittierung des Systems, Datendiebstahl und unbefugtem Zugriff auf sensible Informationen führen könnte.

Details zur Ausnutzung: Die Schwachstellen stammen von serverseitigen Template-Injection-Fehlern in der ServiceNow-Plattform. Ein Angreifer könnte bösartige Vorlagen einschleusen, die dann auf dem Server ausgeführt werden und Remotecodeausführung ermöglichen.

Es wurden mehrere PoCs auf GitHub veröffentlicht und es handelt sich um eine CISA Known Exploited Vulnerability (KEV).

Patch-Verfügbarkeit: ServiceNow hat Patches zur Behebung dieser Sicherheitslücken veröffentlicht. Gehostete Instanzen wurden am 14. Mai 2024 automatisch aktualisiert. Nicht gehostete Instanzen sollten sofort auf die neueste gepatchte Version aktualisiert werden.

Censys Perspektive:

Derzeit identifiziert Censys 11.108 potenziell verwundbare ServiceNow-Instanzen. Wie für eine Cloud-basierte Plattform zu erwarten, konzentriert sich die Mehrheit in AWS- und Azure-Netzwerken (AS8266, AS1125, AS698). Um potenziell verwundbare, nicht gehostete ServiceNow-Instanzen zu identifizieren, können die folgenden Censys -Abfragen verwendet werden:

  • Censys Search Abfrage:
    services: (software.product="ServiceNow" OR http.response.headers: (key: `Server` and value.headers: `ServiceNow`)) and not autonomous_system.name="SNC" and not name:".service-now." and not labels=`tarpit` 
  • Censys ASM-Abfrage:
     host.services: (software.product:"ServiceNow" OR http.response.headers: (key: `Server` and value.headers: `ServiceNow`)) or web_entity.instances: (software.product:"ServiceNow" OR http.response.headers: (key: `Server` and value.headers: `ServiceNow`)) and not (host.services.labels=`tarpit` or web_entity.instances.labels=`tarpit`) 

Diese Abfrage schließt von ServiceNow gehostete Instanzen aus.

Referenzen:

  1. https://www.servicenow.com/security/advisory-database.html
  2. https://www.bleepingcomputer.com/news/security/servicenow-fixes-critical-rce-flaws-in-platform-used-by-7-400-enterprises/

 

Ähnlicher Inhalt

Zurück zu Ressourcen Hub
Lösungen für das Management von Angriffsflächen
Mehr erfahren