ADVERTENCIA: SE PUEDEN ENCADENAR 3 VULNERABILIDADES CRÍTICAS Y ALTAS EN SERVICENOW PARA LOGRAR ACCESO COMPLETO A LA BASE DE DATOS EN EL SERVIDOR INTERMEDIO. ¡APLIQUE EL PARCHEO INMEDIATAMENTE!
CVE/CVSS:
CVE-2024-4879: 9.3 (CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI: N/SA:N)
CVE-2024-5178: 6.9 (CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:N/VA:N/SC:N/SI: N/SA:N)
CVE-2024-5217: 9.2 (CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI: N/SA:N)
Fuentes
Riesgos
El 10 de julio de 2024, ServiceNow lanzó actualizaciones de seguridad que abordan tres vulnerabilidades diferentes que afectan a la plataforma Now de ServiceNow. En conjunto, estas vulnerabilidades podrían ser explotadas por actores de amenazas para obtener acceso total a las bases de datos y los servidores MID configurados. Los servidores MID son servidores proxy ubicados dentro de la red interna de una organización y se utilizan con el propósito de conectarse a la nube de ServiceNow.
La plataforma Now de ServiceNow es una plataforma popular, ampliamente utilizada en todo el mundo. Los clientes de ServiceNow suelen elegir la oferta en la nube de ServiceNow, lo que hace que estas instancias sean objetivos atractivos, ya que pueden alojar datos confidenciales y son accesibles desde el exterior.
En este momento, ServiceNow no ha comentado si estas vulnerabilidades se están explotando activamente (fecha límite: 24 de julio de 2024). Sin embargo, una empresa de seguridad informó haber observado más de 6.000 intentos de explotación. Otra empresa informó sobre una prueba de concepto en la que encadenaron las vulnerabilidades para acceder a los datos almacenados en ServiceNow.
La explotación de estas vulnerabilidades puede tener un gran impacto en la confidencialidad, integridad y disponibilidad.
Descripción
Existen tres vulnerabilidades que, encadenadas, pueden aprovechar la inyección de plantillas para brindar a los atacantes remotos acceso total a las bases de datos y los servidores MID configurados. Los servidores MID son servidores proxy ubicados dentro de la red interna de una organización y utilizados con el propósito de conectarse a la nube de ServiceNow.
Las 3 vulnerabilidades son:
- CVE-2024-2024-4879 es una vulnerabilidad de validación de entrada. Esta vulnerabilidad existe en las versiones de Vancouver y Washington DC de Now Platform de ServiceNow.
La explotación de esta vulnerabilidad podría permitir que un usuario no autenticado ejecute código de forma remota dentro del contexto de la plataforma Now. - CVE-2024-5178 es una vulnerabilidad de lectura de archivos confidenciales. Esta vulnerabilidad se identificó en las versiones de Washington DC, Vancouver y Utah de Now Platform de ServiceNow.
La explotación exitosa de esta vulnerabilidad podría permitir que un usuario administrativo obtenga acceso no autorizado a archivos confidenciales en el servidor de aplicaciones web. - CVE-2024-5217 es una vulnerabilidad de validación de entrada que se identificó en Washington DC, Vancouver y versiones anteriores de Now Platform de ServiceNow.
La explotación de esta vulnerabilidad podría permitir que un usuario no autenticado ejecute código de forma remota dentro del contexto de la plataforma Now.
Acciones recomendadas
Parche
El Centro de Ciberseguridad de Bélgica recomienda encarecidamente instalar actualizaciones para dispositivos vulnerables, después de realizar pruebas exhaustivas.
ServiceNow informa que estas vulnerabilidades se abordan en parches y correcciones urgentes:
Para CVE-2024-4879
Para la versión de Utah, consulte las versiones corregidas:
- Parche 10 de Utah, corrección urgente 3
- Solución urgente 2 del parche 10a de Utah
Para la versión de Vancouver, consulte las versiones corregidas:
- Revisión 2 del parche 6 de Vancouver
- Revisión rápida 3b del parche 7 de Vancouver
- Corrección de errores 4 del parche 8 de Vancouver
- Parche 9 de Vancouver
- Parche 10 de Vancouver
Para la versión de Washington, consulte las versiones corregidas:
- Washington DC: parche 1, corrección urgente 2b
- Washington DC Parche 2, corrección urgente 2
- Washington DC: parche 3, corrección urgente 1
- Washington DC, parche 4
Para CVE-2024-5178
Para la versión de Utah, consulte las versiones corregidas:
- Parche 10 de Utah, corrección urgente 3
- Solución urgente 2 del parche 10a de Utah
- Corrección urgente 1 del parche 10b de Utah
Para la versión de Vancouver, consulte las versiones corregidas:
- Revisión 2 del parche 6 de Vancouver
- Revisión rápida 3b del parche 7 de Vancouver
- Corrección de errores 4 del parche 8 de Vancouver
- Corrección rápida 1 del parche 9 de Vancouver
- Parche 10 de Vancouver
Para la versión de Washington, consulte las versiones corregidas:
- Washington DC: parche 1, corrección urgente 3b
- Washington DC Parche 2, corrección urgente 2
- Washington DC: parche 3, corrección urgente 2
- Washington DC, parche 4
Para CVE-2024-5217
Para la versión de Utah, consulte las versiones corregidas:
- Parche 10 de Utah, corrección urgente 3
- Solución urgente 2 del parche 10a de Utah
- Corrección urgente 1 del parche 10b de Utah
Para la versión de Vancouver, consulte las versiones corregidas:
- Revisión 2 del parche 6 de Vancouver
- Revisión rápida 3b del parche 7 de Vancouver
- Corrección de errores 4 del parche 8 de Vancouver
- Corrección rápida 1 del parche 9 de Vancouver
- Parche 10 de Vancouver
Para la versión de Washington, consulte las versiones corregidas:
- Washington DC: parche 1, corrección urgente 3b
- Washington DC Parche 2, corrección urgente 2
- Washington DC: parche 3, corrección urgente 2
- Washington DC, parche 4
- Washington DC, parche 5
Tenga en cuenta que, si bien ServiceNow implementó varias mitigaciones, la ejecución del código sigue siendo posible siempre que queden puntos de inyección sin escapar.
Monitorizar/Detectar
El CCB recomienda que las organizaciones mejoren las capacidades de monitoreo y detección para identificar cualquier actividad sospechosa relacionada, asegurando una respuesta rápida en caso de una intrusión.
Si bien la instalación de parches para dispositivos o software a la versión más reciente puede brindar seguridad contra futuras explotaciones, no remedia el compromiso histórico.
Referencias