本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。
Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。
なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。
ServiceNowにおけるNow Platformの脆弱性(CVE-2024-4879)を狙った攻撃
今月は、ServiceNowにおけるNow Platformの脆弱性(CVE-2024-4879)を狙った攻撃が増加しました。
Now Platformは、業務プロセスを効率化し、自動化を実現するためのソリューションです。本脆弱性は、7/10(水)に公開されたもので、攻撃者に悪用された場合は、リモートから認証なしで任意のコードを実行されてしまう恐れがあります。
本脆弱性のCVSS値(脆弱性の深刻度)は、9.8(重要度: Critical)と評価とされており、深刻な脆弱性に位置づけられています。当該基盤を使用されている場合は、早急に最新のバージョンにアップデートすることをお勧めします。
下図は、本脆弱性を狙った攻撃の検知数推移です。弊社SOCでは7/11(木)に初観測しており、12月に攻撃が急増しました。
 |
以下は、弊社SOCで検知した攻撃例です。サーバーサイドテンプレートインジェクション(SSTI)のペイロードをURLに追加して、アプリケーションが「gs.addErrorMessage」内の計算結果を応答するかどうかで脆弱性の有無を調査した通信となっています。
|
GET /login.do?jvar_page_title=<style><j:jelly xmlns:j="jelly" xmlns:g='glide'><g:evaluate>gs.addErrorMessage(1337*1337);</g:evaluate></j:jelly></style> HTTP/1.1 |
下表は、本脆弱性を狙った攻撃元国です。インドからの攻撃を多数観測しています。
| # | 2024年12月 | |
| 1 | インド | 71.2% |
| 2 | アメリカ | 14.7% |
| 3 | フランス | 9.2% |
| 4 | オランダ | 1.2% |
| 5 | 日本 | 0.8% |
影響対象
- Now Platform
- Utah
- Vancouver
- Washington DC
対策方法
最新のセキュリティパッチを適用してください。
なお、本脆弱性は以下のセキュリティパッチで修正されております。
- Utah Patch 10 Hot Fix 3
- Utah Patch 10a Hot Fix 2
- Vancouver Patch 6 Hot Fix 2
- Vancouver Patch 7 Hot Fix 3b
- Vancouver Patch 8 Hot Fix 4
- Vancouver Patch 9
- Vancouver Patch 10
- Washington DC Patch 1 Hot Fix 2b
- Washington DC Patch 2 Hot Fix 2
- Washington DC Patch 3 Hot Fix 1
- Washington DC Patch 4
参考情報
- ServiceNow: CVE-2024-4879 - Jelly Template Injection Vulnerability in ServiceNow UI Macros
https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1645154 - CVE: CVE-2024-4879
https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2024-4879
https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-004831.html
マネージドサービス事業部
MBSD-SOC
MBSD-SOC
