Am 11. Juli 2024 berichtete das Sicherheitsforschungsunternehmen Assetnote über eine Kette von drei Schwachstellen, die zusammen ausgenutzt werden können, um vollen Zugriff auf alle ServiceNow-Daten zu erhalten. ServiceNow reagierte schnell auf den Bericht und arbeitete eng mit Assetnote zusammen, um die Schwachstellen zu beheben.
ServiceNow, eine Plattform für Geschäftstransformation, bietet Module für HR- und Mitarbeitermanagement, Automatisierungs-Workflows und Wissensdatenbanken. Da viele Unternehmen die cloudbasierte Lösung von ServiceNow verwenden, sind diese Instanzen häufig extern zugänglich und können sensible Daten wie Mitarbeiter- und HR-Daten enthalten. Die Konfiguration eines Proxy-Servers (MID Server) zur Kommunikation mit dem internen Netzwerk des Unternehmens kann bei einem Angriff schwerwiegende Folgen haben.
Assetnote entdeckte in einem Zeitraum von drei bis vier Wochen eine Kette von Schwachstellen, die zusammen ausgenutzt werden können, um vollständigen Datenbankzugriff und Zugriff auf alle konfigurierten MID-Server zu erhalten. Die folgenden CVEs wurden für diese Schwachstellen vergeben:
- CVE-2024-4879
- CVE-2024-5178
- CVE-2024-5217
Besonders kritisch ist die Jelly Template Injection Vulnerability in den ServiceNow UI Macros, die als CVE-2024-4879 identifiziert wurde.
Die Schwachstellen ermöglichen es einem unauthentifizierten Angreifer, Code innerhalb der Now Platform auszuführen. ServiceNow hat bereits ein Update auf gehostete Instanzen angewendet und Patches für Partner und selbstgehostete Kunden bereitgestellt. Die betroffenen Versionen umfassen die Vancouver- und Washington DC Now Platform Releases.
- CVSS-Score: 9.8/10 (Kritisch)
- CWE-1287: Improper Validation of Specified Type of Input
ServiceNow-Kunden wird dringend empfohlen, die bereitgestellten Sicherheitspatches umgehend anzuwenden, um ihre Systeme vor möglichen Angriffen zu schützen.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: