Asesoría

1 de agosto de 2024 Aviso: Múltiples vulnerabilidades de inyección de plantillas del lado del servidor de ServiceNow [CVE-2024-4879, CVE-2024-5178 & CVE-2024-5217].

1 de agosto de 2024

Etiquetas:

Respuesta rápida

Fecha de divulgación: 28 de mayo de 2024

CVE-ID y puntuación CVSS:

CVE-2024-4879: CVSS 9.3
CVE-2024-5178: CVSS 6.9
CVE-2024-5217: CVSS 9.2

Nombre y descripción del problema: Múltiples vulnerabilidades de inyección de plantillas del lado del servidor de ServiceNow

Descripción del activo: ServiceNow es una popular plataforma basada en la nube para la gestión de servicios de TI, gestión de operaciones y soluciones de gestión empresarial. Estas vulnerabilidades afectan a las instancias no alojadas de ServiceNow que ejecutan las versiones de la plataforma Now de Vancouver, Washington DC y Utah. ServiceNow informó de que las instancias alojadas se parcheaban automáticamente.

CVE	Comunicados afectados	Asesoramiento de proveedores
CVE-2024-4879	Vancouver y Washington DC Estrenos de la plataforma Now	https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1645154
CVE-2024-5178	Washington DC, Vancouver y Utah Lanzamientos de plataformas Now	https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1648312
CVE-2024-5217	Washington DC, Vancouver y versiones anteriores de la plataforma Now	https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1648313

CVE

Comunicados afectados

Asesoramiento de proveedores

CVE-2024-4879

Vancouver y Washington DC Estrenos de la plataforma Now

https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1645154

CVE-2024-5178

Washington DC, Vancouver y Utah Lanzamientos de plataformas Now

https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1648312

CVE-2024-5217

Washington DC, Vancouver y versiones anteriores de la plataforma Now

https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1648313

Impacto de la vulnerabilidad: Un actor de amenaza podría explotar estas vulnerabilidades para ejecutar código arbitrario en las instancias de ServiceNow afectadas, lo que podría llevar a un compromiso completo del sistema, robo de datos y acceso no autorizado a información confidencial.

Detalles de la explotación: Las vulnerabilidades provienen de fallos de inyección de plantillas en el lado del servidor en la plataforma de ServiceNow. Un atacante podría inyectar plantillas maliciosas que luego se ejecutan en el servidor, lo que permite la ejecución remota de código.

Hay varios PoCs publicados en GitHub y es una CISA Known Exploited Vulnerability (KEV).

Disponibilidad de parches: ServiceNow ha publicado parches para solucionar estas vulnerabilidades. Las instancias alojadas se actualizaron automáticamente el 14 de mayo de 2024. Las instancias no alojadas deben actualizarse inmediatamente a la última versión parcheada.

Censys Perspectiva:

Actualmente, Censys identifica 11.108 instancias de ServiceNow potencialmente vulnerables. Como era de esperar para una plataforma basada en la nube, la mayoría se concentran en las redes de AWS y Azure (AS8266, AS1125, AS698). Para identificar instancias de ServiceNow no alojadas potencialmente vulnerables, se pueden utilizar las siguientes consultas de Censys :

Censys Consulta de búsqueda:

services: (software.product="ServiceNow" OR http.response.headers: (key: `Server` and value.headers: `ServiceNow`)) and not autonomous_system.name="SNC" and not name:".service-now." and not labels=`tarpit`

Censys Consulta ASM:

 host.services: (software.product:"ServiceNow" OR http.response.headers: (key: `Server` and value.headers: `ServiceNow`)) or web_entity.instances: (software.product:"ServiceNow" OR http.response.headers: (key: `Server` and value.headers: `ServiceNow`)) and not (host.services.labels=`tarpit` or web_entity.instances.labels=`tarpit`)

Esta consulta excluye las instancias alojadas en ServiceNow.

Referencias: