Skip to content
Nouveau rapport : Obtenez votre exemplaire du rapport 2024 sur l'état de l'internet ! | Télécharger aujourd'hui
Avis

Aug 1, 2024 Avis : Multiples vulnérabilités d'injection de modèle côté serveur de ServiceNow [CVE-2024-4879, CVE-2024-5178 & CVE-2024-5217].

Partager

1er août 2024
Tags :

Date de divulgation: 28 mai 2024

CVE-ID et score CVSS:

  • CVE-2024-4879 : CVSS 9.3
  • CVE-2024-5178 : CVSS 6.9
  • CVE-2024-5217 : CVSS 9.2

Nom et description du problème: Multiples vulnérabilités d'injection de modèles côté serveur de ServiceNow

Description de l'actif: ServiceNow est une plateforme populaire basée sur le cloud pour la gestion des services informatiques, la gestion des opérations et les solutions de gestion d'entreprise. Ces vulnérabilités affectent les instances ServiceNow non hébergées exécutant les versions Vancouver, Washington DC et Utah Now Platform. ServiceNow a indiqué que les instances hébergées ont été automatiquement corrigées.

CVE Communiqués concernés Avis du fournisseur
CVE-2024-4879 Vancouver et Washington DC : lancement de la plateforme Now https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1645154
CVE-2024-5178 Washington DC, Vancouver et Utah Communiqués de presse de la plate-forme Now https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1648312
CVE-2024-5217

 

 Washington DC, Vancouver, et versions antérieures de Now Platform https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1648313

Impact de la vulnérabilité: Un acteur menaçant pourrait exploiter ces vulnérabilités pour exécuter un code arbitraire sur les instances ServiceNow concernées, ce qui pourrait compromettre complètement le système, entraîner un vol de données et un accès non autorisé à des informations sensibles.

Détails de l'exploitation: Les vulnérabilités proviennent de failles d'injection de modèles côté serveur dans la plateforme de ServiceNow. Un attaquant peut injecter des modèles malveillants qui sont ensuite exécutés sur le serveur, ce qui permet l'exécution de code à distance.

Plusieurs PoC ont été publiés sur GitHub et il s'agit d'une vulnérabilité exploitée connue (KEV) de la CISA.

Disponibilité des correctifs : ServiceNow a publié des correctifs pour remédier à ces vulnérabilités. Les instances hébergées ont été automatiquement mises à jour le 14 mai 2024. Les instances non hébergées doivent être mises à jour immédiatement avec la dernière version corrigée.

Censys Perspective :

Actuellement, Censys identifie 11 108 instances ServiceNow potentiellement vulnérables. Comme on peut s'y attendre pour une plateforme basée sur le cloud, la majorité d'entre elles sont concentrées dans les réseaux AWS et Azure (AS8266, AS1125, AS698). Pour identifier les instances ServiceNow non hébergées potentiellement vulnérables, les requêtes suivantes Censys peuvent être utilisées :

  • Censys Requête de recherche: 
    services: (software.product="ServiceNow" OR http.response.headers: (key: `Server` and value.headers: `ServiceNow`)) and not autonomous_system.name="SNC" and not name:".service-now." and not labels=`tarpit`
  • Censys Requête ASM: 
     host.services: (software.product:"ServiceNow" OR http.response.headers: (key: `Server` and value.headers: `ServiceNow`)) or web_entity.instances: (software.product:"ServiceNow" OR http.response.headers: (key: `Server` and value.headers: `ServiceNow`)) and not (host.services.labels=`tarpit` or web_entity.instances.labels=`tarpit`)

Cette requête exclut les instances hébergées par ServiceNow.

Références :

  1. https://www.servicenow.com/security/advisory-database.html
  2. https://www.bleepingcomputer.com/news/security/servicenow-fixes-critical-rce-flaws-in-platform-used-by-7-400-enterprises/

 

Contenu similaire

Voir tous les contenus similaires
Retour au centre de ressources
Solutions de gestion de la surface d'attaque
En savoir plus