ServiceNowの脆弱性を悪用した攻撃が観測される(CVE-2024-4879、CVE-2024-5217)
2024年7月に修正されたServiceNow(サービスナウ)の脆弱性(CVE-2024-4879、CVE-2024-5217)を悪用した攻撃が観測された事を海外のセキュリティ企業「Resecurity」が警告しました。
目次
ServiceNow(サービスナウ)の脆弱性の脆弱性 CVE-2024-4879 と CVE-2024-5217 について
どちらもそれぞれ CVSSv4 スコアが 9.3 と 9.2 と、重大です。これらの脆弱性により、認証されていないリモート攻撃者が Now Platform 内で任意のコードを実行できるようになり、侵害、データ盗難、業務運営の中断につながる可能性があります。
なお両脆弱性ともにパッチはリリース済みです。
ServiceNowの脆弱性を用いた攻撃について
この悪意のある活動は Resecurity によって報告され、同社は 1 週間監視した後、政府機関、データ センター、エネルギー プロバイダー、ソフトウェア開発会社など、複数の被害者を特定しました
ベンダーは2024年7月10日にこの欠陥に対するセキュリティアップデートをリリースしましたが、数万台のシステムが攻撃に対して脆弱なままになる可能性があります。
Resecurity が確認した進行中のエクスプロイトでは、ペイロード インジェクションを利用してサーバー応答内の特定の結果をチェックし、その後に第 2 段階のペイロードでデータベースの内容をチェックします。
成功した場合、攻撃者はユーザーリストとアカウント認証情報をダンプします。Resecurity によると、ほとんどの場合、これらはハッシュ化されていましたが、
侵害されたインスタンスの一部ではプレーンテキストの認証情報が露出していました。
Resecurity が脆弱性の公開日から 1 週間にわたって監視した結果、さまざまな地域や市場分野の複数の組織が標的にされました。
これには以下が含まれますが、業種や規模は限定されません。
– エネルギー会社
– データセンター組織
– 中東の政府機関
– ソフトウェア開発会社
特に、一部の企業はリリースされたパッチを認識しておらず、開発者やソフトウェア エンジニアによって古いインスタンスやメンテナンスが不十分なインスタンスを使用しているケースもありました。
このことから、最新のソフトウェア更新とパッチを追跡し、信頼できる IT ベンダーが推奨するセキュリティ修正プログラムと更新を実装することの重要性が浮き彫りになりました。
また、Resecurity はダーク ウェブ上の複数の地下フォーラムで、IT サービス デスク、企業ポータル、および従業員や請負業者にリモート アクセスを提供するその他のエンタープライズ システムへの不正アクセスを狙う脅威アクターのチャットが確認されています
脆弱性への対策
本脆弱性へパッチを適用
https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1645154
https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1648313
https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1648312