ServiceNow の古い脆弱性 CVE-2024-4879／5217／5178 が標的：データベース侵害の恐れ

New Attacks Exploit Year-Old ServiceNow Flaws – Israel Hit Hardest

2025/03/21 HackRead — ServiceNow で以前に公開された３つの脆弱性を狙う、悪意のある活動が大幅に増加していることを、脅威インテリジェンス企業 GreyNoise のセキュリティ研究者たちが警告している。ServiceNow は、ユーザー組織におけるデジタル・ワークフローの管理／自動化のためのクラウド・ベースのプラットフォームである。

それらの脆弱性 CVE-2024-4879／CVE-2024-5217／CVE-2024-5178 は、2024年5月14日の時点で Assetnote のセキュリティ研究者 Adam Kues により報告され、その日のうちに ServiceNow により速やかに修正されている。

上記のとおり、すでにパッチは提供されているが、この欠陥の悪用を目的とする、実際の活動の再燃を、GreyNoise は観察している。GreyNoise のブログ投稿には、「この攻撃試行の急増に関与しているのは、多数の一意の IP アドレスであり、その中には、過去 24 時間以内に検出された活動も含まれる。 具体的に言うと、36件の脅威 IP が CVE-2024-5178 を標的とし、48件の脅威 IP が CVE-2024-4879 と CVE-2024-5217 を標的としている」と記されている。

地理的に見ると、この１週間における悪意のセッションの大部分である 70% 以上が、イスラエルに存在するシステムへと向けられていた。ただし、標的システムは、リトアニア／ドイツ／日本でも検出されており、直近の 24 時間以内においてイスラエル／リトアニアでアクティビティが発生している。この地理的な集中が示唆するのは、標的型キャンペーンの可能性である。

脆弱性 CVE-2024-4879 は、テンプレート・インジェクションの欠陥である。参考までに説明すると、テンプレート・インジェクションの脆弱性とは、ユーザーが入力したコンテンツへのサニタイズが不適切な状態で、テンプレート・エンジンに挿入されたときに発生するものだ。

ServiceNow のコンテキストでは、それを悪用する攻撃者が、プラットフォームで使用されるテンプレートに悪意のコードを挿入する可能性が生じる。この悪用に成功した攻撃者は、リモート・コード実行を達成し、ServiceNow インスタンスをホストしているサーバの制御を奪う可能性を手にする。

脆弱性 CVE-2024-5217／CVE-2024-5178 は、入力検証エラーに関連するものであり、その悪用に成功した攻撃者は、データを操作してセキュリティ制御を回避できる。この入力検証の脆弱性は、ユーザーが提供する入力を、アプリケーションが適切に検証できない場合に発生する。

最初に Assetnote が指摘し、その後に GreyNoise が再確認したように、これらの脆弱性を連鎖させると、影響を受ける ServiceNow インスタンスのデータベースに対する、完全なアクセスの取得へと至るため、きわめて懸念される事態に陥る。つまり、ServiceNow に依存するかたちで、従業員情報や人事記録などの機密データを管理する組織にとって大きなリスクになる。

ServiceNow の広報担当者は、 これまでの協調攻撃キャンペーンによる、顧客への影響は確認されていないと、Hackread.com に声明を伝えている。

ServiceNow — いまから１年ほど前に、Vancouver／Washington, D.C. ファミリー・リリースで実行されるインスタンスに影響を与える、Now Platform の脆弱性を確認した。そのことを知った翌日から、速やかに一連の更新を展開し、問題を完全に解決している。そして、現時点に至るまでの当社の調査では、この攻撃によるユーザーへの影響は確認されていない。ユーザーに対する最善のサポートを提供するために、当社として引き続き状況を監視していく — ServiceNow

その一方で GreyNoise は、ServiceNow を使用するユーザー組織に対して推奨するのは、速やかに行動を起こして、リスクを軽減することだ。具体的に言うと、最新のセキュリティ・パッチの適用に加えて、管理インターフェイスへのアクセスの制限と、疑わしいアクティビティの監視などが必要になるという。

AppOmni の Chief of SaaS Security Research である Aaron Costello は、「この脆弱性は、データベースに対する、認証を必要としない完全なアクセスを許可するため、きわめて深刻である。ベンダーが更新を処理するクラウド・ホスト・バージョンは安全であっても、セキュリティ・パッチを更新していないオンプレミスの ServiceNow システムが、危険にさらされている。IP アドレス・アクセス制御を実装していれば、悪用を防げるはずだ。特にオンプレミスの SaaS ソフトウェアについては、セキュリティ・パッチを最新の状態に保つことが重要である」と指摘している。

2024年にも観測されていた、ServiceNow の脆弱性を悪用する攻撃が、最近になって急増しているとのことです。特に CVE-2024-4879 に関しては、すでに PoC が公開されており、政府機関や民間企業に対する攻撃での悪用が確認されています。ご利用のチームは、十分にご注意下さい。よろしければ、以下の関連記事も、ServiceNow で検索と併せてご利用下さい。

2024/07/29：ServiceNow の CVE-2024-4879／5217 が KEV に登録
2024/07/25：ServiceNow のCVE-2024-4879：PoC を利用した攻撃
2024/07/11：ServiceNow に脆弱性：RCE およびデータ侵害の恐れ