Now Platformは、ITや運用、ビジネス管理、プロセスの自動化のための、スケーラブルで汎用性の高いクラウドソリューションです。
以前から多くの環境で利用されています。
ローコードという単語を広く知られるものとした役者の一つなのではないでしょうか。
そんなNow Platformで、先日3つの脆弱性の修正が案内されています。
- CVE-2024-4879
CVSS4.0ベーススコアは、9.3です。
この脆弱性により、認証されていないユーザーがNow Platformのコンテキスト内でリモートでコードを実行できる可能性があります。
この内容は、CWE-1287(指定されたタイプの入力に対する不適切な検証)に相当します。
すでに対策できるパッチが提供されています。 - CVE-2024-5217
CVSS4.0ベーススコアは、9.2です。
この脆弱性により、認証されていないユーザーがNow Platformのコンテキスト内でリモートでコードを実行できる可能性があります。
この内容は、CWE-1287(指定されたタイプの入力に対する不適切な検証)に相当します。
すでに対策できるパッチが提供されています。
CVSSのスコアは少しだけ異なりますが、脆弱性の方向はCVE-2024-4879と同じです。 - CVE-2024-5178
CVSS4.0ベーススコアは、6.9です。
この脆弱性により、管理ユーザーがWebアプリケーションサーバー上の機密ファイルに不正アクセスできる可能性があります。
この内容は、CWE-184(ポリシーで許可されていないか、追加の処理が行われる前に無効化するための他のアクションを必要とする入力、もしくは、入力のプロパティのリストに依存する保護メカニズムを実装しているが、リストが不完全であるため、結果として弱点が生じている)に相当します。
すでに対策できるパッチが提供されています。
これら3つの脆弱性が短い期間に一度に案内されました。
Now Platformは利用者の多い製品です。
このため、多くの関係者が注目することになりました。
そして、注目したのは利用者だけではありませんでした。
セキュリティ研究者も、脅威アクターも、注目するところとなりました。
脆弱性の研究結果として、実用的なレベルにまで実装されているエクスプロイトが概念実証コードとして多数公開されました。
あるエクスプロイトの動作内容を例にすると、こんな動きができてしまいます。
ペイロードインジェクションを利用してサーバー応答内の特定の結果をチェックし、その後に第2段階のペイロードでデータベースの内容をチェックします。
活動が成功した場合、攻撃者はユーザーリストとアカウント認証情報をダンプします。
ほとんどの場合、ダンプされる認証情報はハッシュ化されていましたが、侵害されたインスタンスの一部ではプレーンテキストの認証情報が露出していました。
実際のNow Platformの稼働環境は、いくつあるのでしょうか。
あるインターネットスキャンで確認すると、約30万件のヒットが確認できます。
このうちのいったいいくつの環境が、これらの脆弱性に対して対策済みにできているのでしょうか。
CVE-2024-4879 and CVE-2024-5217 (ServiceNow RCE) Exploitation in a Global Reconnaissance Campaign
https://www.resecurity.com/blog/article/cve-2024-4879-and-cve-2024-5217-servicenow-rce-exploitation-in-a-global-reconnaissance-campaign
| この記事をシェア |
|
|---|
