Ir al contenido
Perspectiva de los analistas: Descargue hoy mismo su copia del informe Gartner® Hype Cycle™ for Security Operations, 2024. | Obtener informe
Asesoría

1 de agosto de 2024 Aviso: Múltiples vulnerabilidades de inyección de plantillas del lado del servidor de ServiceNow [CVE-2024-4879, CVE-2024-5178 & CVE-2024-5217].

Compartir

1 de agosto de 2024
Etiquetas:

Fecha de divulgación: 28 de mayo de 2024

CVE-ID y puntuación CVSS:

  • CVE-2024-4879: CVSS 9.3
  • CVE-2024-5178: CVSS 6.9
  • CVE-2024-5217: CVSS 9.2

Nombre y descripción del problema: Múltiples vulnerabilidades de inyección de plantillas del lado del servidor de ServiceNow

Descripción del activo: ServiceNow es una popular plataforma basada en la nube para la gestión de servicios de TI, gestión de operaciones y soluciones de gestión empresarial. Estas vulnerabilidades afectan a las instancias no alojadas de ServiceNow que ejecutan las versiones de la plataforma Now de Vancouver, Washington DC y Utah. ServiceNow informó de que las instancias alojadas se parcheaban automáticamente.

CVE Comunicados afectados Asesoramiento de proveedores
CVE-2024-4879 Vancouver y Washington DC Estrenos de la plataforma Now https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1645154
CVE-2024-5178 Washington DC, Vancouver y Utah Lanzamientos de plataformas Now https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1648312
CVE-2024-5217

 

 Washington DC, Vancouver y versiones anteriores de la plataforma Now https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1648313

Impacto de la vulnerabilidad: Un actor de amenaza podría explotar estas vulnerabilidades para ejecutar código arbitrario en las instancias de ServiceNow afectadas, lo que podría llevar a un compromiso completo del sistema, robo de datos y acceso no autorizado a información confidencial.

Detalles de la explotación: Las vulnerabilidades provienen de fallos de inyección de plantillas en el lado del servidor en la plataforma de ServiceNow. Un atacante podría inyectar plantillas maliciosas que luego se ejecutan en el servidor, lo que permite la ejecución remota de código.

Hay varios PoCs publicados en GitHub y es una CISA Known Exploited Vulnerability (KEV).

Disponibilidad de parches: ServiceNow ha publicado parches para solucionar estas vulnerabilidades. Las instancias alojadas se actualizaron automáticamente el 14 de mayo de 2024. Las instancias no alojadas deben actualizarse inmediatamente a la última versión parcheada.

Censys Perspectiva:

Actualmente, Censys identifica 11.108 instancias de ServiceNow potencialmente vulnerables. Como era de esperar para una plataforma basada en la nube, la mayoría se concentran en las redes de AWS y Azure (AS8266, AS1125, AS698). Para identificar instancias de ServiceNow no alojadas potencialmente vulnerables, se pueden utilizar las siguientes consultas de Censys :

  • Censys Consulta de búsqueda: 
    services: (software.product="ServiceNow" OR http.response.headers: (key: `Server` and value.headers: `ServiceNow`)) and not autonomous_system.name="SNC" and not name:".service-now." and not labels=`tarpit`
  • Censys Consulta ASM: 
     host.services: (software.product:"ServiceNow" OR http.response.headers: (key: `Server` and value.headers: `ServiceNow`)) or web_entity.instances: (software.product:"ServiceNow" OR http.response.headers: (key: `Server` and value.headers: `ServiceNow`)) and not (host.services.labels=`tarpit` or web_entity.instances.labels=`tarpit`)

Esta consulta excluye las instancias alojadas en ServiceNow.

Referencias:

  1. https://www.servicenow.com/security/advisory-database.html
  2. https://www.bleepingcomputer.com/news/security/servicenow-fixes-critical-rce-flaws-in-platform-used-by-7-400-enterprises/

 

Contenido similar

Ver todos los contenidos similares
Volver al Centro de Recursos
Soluciones de gestión de la superficie de ataque
Más información