ServiceNow gibt kritische Schwachstellen CVE-2024-4879, CVE-2024-5217 und CVE-2024-5178 bekannt
Am 10. Juli 2024 hat ServiceNow die kritischen Schwachstellen CVE-2024-4879, CVE-2024-5217 und CVE-2024-5178 offengelegt, die erhebliche Risiken für Benutzer der Now Platform darstellen. Diese Schwachstellen ermöglichen unbefugten Zugriff und Remotecodeausführung (RCE) innerhalb der Plattform, was möglicherweise zu schwerwiegenden Betriebsstörungen und Datenverletzungen führt.
Übersicht über Schwachstellen
CVE-2024-4879
- *Typ: Nicht authentifizierter RCE über Jelly Template Injection
*CVSS-Score: 9,3
- *Beschreibung: Diese Sicherheitslücke ermöglicht es nicht authentifizierten Benutzern, beliebigen Code im Kontext der Now Platform auszuführen. Angreifer können diese Schwachstelle ausnutzen, indem sie über die ServiceNow-UI-Makros Schadcode einschleusen, was zu unbefugtem Zugriff auf vertrauliche Daten und die Systemsteuerung führen kann.
CVE-2024-5217
- *Typ : Nicht authentifizierter RCE durch unvollständige Eingabevalidierung
* CVSS-Score : 9,2
- *Beschreibung: Ähnlich wie CVE-2024-4879 ermöglicht diese Sicherheitslücke nicht authentifizierten Benutzern die Ausführung beliebigen Codes. Sie nutzt eine unzureichende Eingabeüberprüfung im GlideExpression-Skript aus, wodurch Angreifer den Ausführungsfluss manipulieren und Kontrolle über die Plattform erlangen können.
CVE-2024-5178
- *Typ: Unautorisierter Dateizugriff
*CVSS-Score: 6,9
- *Beschreibung: Diese Sicherheitslücke ermöglicht administrativen Benutzern den Zugriff auf vertrauliche Dateien auf dem Webanwendungsserver aufgrund unvollständiger Eingabeüberprüfung in der SecurelyAccess-API. Obwohl sie weniger schwerwiegend ist als die RCE-Sicherheitslücken, besteht dennoch das Risiko einer Datenfreigabe.
Ausbeutung und Auswirkungen
Die Schwachstellen können miteinander verkettet werden, um ihre Ausnutzbarkeit zu erhöhen. So können Angreifer beispielsweise zunächst CVE-2024-4879 ausnutzen, um sich ersten Zugriff zu verschaffen, und dann CVE-2024-5217 verwenden, um ihre Privilegien zu erhöhen und weitere bösartige Aktionen auszuführen. Diese Verkettung von Schwachstellen verstärkt die potenziellen Auswirkungen und ermöglicht es Angreifern, vertrauliche Informationen abzugreifen oder Dienste zu stören.
Ausbeutung in der realen Welt
Cybersicherheitsfirmen haben berichtet, dass diese Schwachstellen in Aufklärungskampagnen gezielt angegriffen werden. So stellte Resecurity beispielsweise fest, dass Bedrohungsakteure nach anfälligen ServiceNow-Instanzen suchten und versuchten, diese auszunutzen, um Daten aus verschiedenen Sektoren, darunter Finanzen und Regierung, zu extrahieren. Die Ausnutzungsversuche wurden auf über 6.000 Websites beobachtet, was auf eine weit verbreitete Bedrohungslandschaft hindeutet.
Minderungsstrategien
Organisationen, die ServiceNow verwenden, wird dringend empfohlen, auf die neuesten gepatchten Versionen der Plattform zu aktualisieren. Die folgenden Versionen wurden als behoben identifiziert:
- *Utah : Patch 10 Hotfix 3, Patch 10a Hotfix 2, Patch 10b Hotfix 1
- *Vancouver: Patch 6 Hotfix 2, Patch 7 Hotfix 3b, Patch 8 Hotfix 4, Patch 9 Hotfix 1, Patch 10
- *Washington DC : Patch 1 Hotfix 3b, Patch 2 Hotfix 2, Patch 3 Hotfix 2, Patch 4, Patch 5
Unternehmen sollten außerdem robuste Überwachungs- und Erkennungsmechanismen implementieren, um Versuche, diese Schwachstellen auszunutzen, zu erkennen. Der Einsatz von Tools wie Nuclei für automatisierte Scans kann bei der Früherkennung potenzieller Bedrohungen helfen.
Abschluss
CVE-2024-4879 und CVE-2024-5217 stellen kritische Schwachstellen dar, die sofortige Aufmerksamkeit von Organisationen erfordern, die die ServiceNow-Plattform verwenden. Indem Organisationen die Natur dieser Schwachstellen verstehen und proaktiv Schritte unternehmen, um ihre Auswirkungen einzudämmen, können sie ihre Systeme und vertraulichen Daten besser vor potenzieller Ausnutzung schützen.