Sicherheitslücken in ServiceNow ermöglicht vollständigen Datenzugriff

Am 11. Juli 2024 berichtete das Sicherheitsforschungsunternehmen Assetnote über eine Kette von drei Schwachstellen, die zusammen ausgenutzt werden können, um vollen Zugriff auf alle ServiceNow-Daten zu erhalten. ServiceNow reagierte schnell auf den Bericht und arbeitete eng mit Assetnote zusammen, um die Schwachstellen zu beheben.

ServiceNow, eine Plattform für Geschäftstransformation, bietet Module für HR- und Mitarbeitermanagement, Automatisierungs-Workflows und Wissensdatenbanken. Da viele Unternehmen die cloudbasierte Lösung von ServiceNow verwenden, sind diese Instanzen häufig extern zugänglich und können sensible Daten wie Mitarbeiter- und HR-Daten enthalten. Die Konfiguration eines Proxy-Servers (MID Server) zur Kommunikation mit dem internen Netzwerk des Unternehmens kann bei einem Angriff schwerwiegende Folgen haben.

Assetnote entdeckte in einem Zeitraum von drei bis vier Wochen eine Kette von Schwachstellen, die zusammen ausgenutzt werden können, um vollständigen Datenbankzugriff und Zugriff auf alle konfigurierten MID-Server zu erhalten. Die folgenden CVEs wurden für diese Schwachstellen vergeben:

Besonders kritisch ist die Jelly Template Injection Vulnerability in den ServiceNow UI Macros, die als CVE-2024-4879 identifiziert wurde.

Die Schwachstellen ermöglichen es einem unauthentifizierten Angreifer, Code innerhalb der Now Platform auszuführen. ServiceNow hat bereits ein Update auf gehostete Instanzen angewendet und Patches für Partner und selbstgehostete Kunden bereitgestellt. Die betroffenen Versionen umfassen die Vancouver- und Washington DC Now Platform Releases.

  • CVSS-Score: 9.8/10 (Kritisch)
  • CWE-1287: Improper Validation of Specified Type of Input

ServiceNow-Kunden wird dringend empfohlen, die bereitgestellten Sicherheitspatches umgehend anzuwenden, um ihre Systeme vor möglichen Angriffen zu schützen.

Related Posts

Kritische Sicherheitslücke in D-Link DIR-823X Router

Eine schwerwiegende Sicherheitslücke (CVE-2024-39202) wurde in der Firmware-Version 240126 des D-Link DIR-823X Routers entdeckt. Die Schwachstelle ermöglicht eine Remote Command Execution (RCE) über den dhcpd_startip Parameter im /goform/set_lan_settings Endpoint. Die Schwachstelle ermöglicht es Angreifern, durch das Senden einer manipulierten HTTP-Anfrage an den dhcpd_startip Parameter Befehle mit Administratorrechten auf dem System auszuführen.

Read More

Use-After-Free-Schwachstelle in Lighttpd Server: offen seit 2018

Eine kürzlich identifizierte Schwachstelle in Lighttpd, einem leichtgewichtigen Webserver, betrifft alle Versionen bis einschließlich 1.4.50. Diese Use-After-Free-Schwachstelle ermöglicht es einem entfernten, nicht authentifizierten Angreifer, durch speziell gestaltete HTTP-Anfragen den Webserver zum Absturz zu bringen oder Speicher auszulesen, um auf sensible Daten zuzugreifen. Diese Schwachstelle wurde bereits 2018 von Lighttpd behoben, bleibt jedoch in vielen Implementierungen ungepatcht, was zu erheblichen Sicherheitsrisiken führt.

Read More

Kritisches Sicherheits-Release für GitLab

Am 10.7.24 hat GitLab die Versionen 17.1.2, 17.0.4 und 16.11.6 für die Community Edition (CE) und die Enterprise Edition (EE) veröffentlicht. Diese Versionen enthalten wichtige Fehler- und Sicherheitskorrekturen. Es wird dringend empfohlen, dass alle GitLab-Installationen sofort auf eine dieser Versionen aktualisiert werden. GitLab.com und GitLab Dedicated laufen bereits mit der gepatchten Version.

Read More