Trusted Design

CVE-2024-4879 の詳細

CVEの情報

説明:
ServiceNow has addressed an input validation vulnerability that was identified in Vancouver and Washington DC Now Platform releases. This vulnerability could enable an unauthenticated user to remotely execute code within the context of the Now Platform. ServiceNow applied an update to hosted instances, and ServiceNow released the update to our partners and self-hosted customers. Listed below are the patches and hot fixes that address the vulnerability. If you have not done so already, we recommend applying security patches relevant to your instance as soon as possible.

CVE更新日: 2024-07-10 17:15:12.117000

CVSSバージョン: 4.0

CVSSスコア: 9.3

KEVの情報

KEV更新日: 2024-07-29

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.999760000

EPSS更新日: 2026-07-17 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: low

Automatable: True

AIを使った解説

解説:

CVE-2024-4879について、以下の観点で解説します。

1. 脆弱性の概要

CVE-2024-4879は、ServiceNowのNow Platformにおける入力検証の不備に起因するリモートコード実行 (RCE) の脆弱性です。攻撃者は、特別に細工された入力を送信することで、ServiceNowインスタンス上で任意のコードを認証なしにリモートで実行できる可能性があります。この脆弱性はJellyテンプレートインジェクションの欠陥として識別されています。

1.1 影響

この脆弱性が悪用されると、以下のような深刻な影響が生じる可能性があります。

  • 認証されていないリモートからの任意のコード実行。
  • 影響を受けるシステムの整合性および機密性が著しく損なわれる。
  • データ漏洩、不正なシステムアクセス、業務の中断、および潜在的な経済的損失。
  • 従業員情報や人事記録などの機密データを含むデータベースへの完全なアクセス。

1.2 深刻度

  • 深刻度: Critical (クリティカル)
  • CVSSv3.1 基本評価値: 9.8
  • CVSSv4 基本評価値: 9.3
  • CISAの既知の悪用されている脆弱性カタログ (KEV): に追加されており、積極的に悪用されていることが確認されています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

この脆弱性は、特定のOSバージョンではなく、ServiceNow Now Platformの以下のリリースに影響を与えます。

  • ServiceNow Utah リリース
    • 特に、Utah Patch 10 Hot Fix 3 より前のバージョン
  • ServiceNow Vancouver リリース
    • 特に、Vancouver Patch 6 Hot Fix 2、Vancouver Patch 7 Hot Fix 3b、Vancouver Patch 8 Hot Fix 4、Vancouver Patch 9、Vancouver Patch 10 より前のバージョン
  • ServiceNow Washington DC リリース
    • 特に、Washington DC Patch 1 Hot Fix 2b、Washington DC Patch 2 Hot Fix 2、Washington DC Patch 3 Hot Fix 1、Washington DC Patch 4 より前のバージョン

2.2 影響を受ける設定

  • ServiceNow Now Platformにおける入力検証の不備。
  • Jellyテンプレートにおける不適切な入力サニタイズ。
  • この脆弱性は、ネットワーク攻撃ベクトルを介してリモートから悪用される可能性があります。

3. 影響を受けた時の兆候

  • 予期しないサーバーの動作。
  • 不正なリモートアクセスログ。
  • アプリケーションログの異常。
  • 異常なトラフィックパターン、および悪用を試みる疑わしいペイロードを含むHTTPリクエスト。
  • 侵害されたインスタンスで平文の認証情報が漏洩する可能性。
  • ペイロードインジェクションの後、サーバー応答内の特定の結果を確認し、その後、データベースコンテンツをチェックする第二段階のペイロードが実行される。

4. 推奨対策

4.1 本対策

  • ServiceNowが提供する最新のセキュリティパッチを直ちに適用してください。
  • ベンダーのアドバイザリに記載されているバージョンにアップグレードしてください。
  • ServiceNowは、ホストされたインスタンスに既に更新を適用しており、パートナーおよびセルフホストの顧客向けにも更新をリリースしています。

4.2 暫定回避策(緩和策)

  • ネットワークレベルのアクセス制御を実装し、公開を制限する。
  • 不正なコード実行を最小限に抑えるため、アプリケーションのホワイトリスト化を導入する。
  • ServiceNowインスタンスへのネットワークアクセスを制限する。
  • 既知の攻撃パターンをブロックするようにWebアプリケーションファイアウォール (WAF) を構成する。
  • コードインジェクションを防ぐため、堅牢な入力検証およびサニタイズ技術を実装する。
  • ServiceNowの重要な設定ファイルを保護し、シェル起動を防止するためのSymantec DCSカスタムサンドボックスと強化ルールを適用する。
  • 異常なトラフィックパターンを検出するためのネットワーク監視を実装し、侵入検知システム (IDS) を構成して、この脆弱性に関連するシグネチャを特定・警告する。
  • アプリケーションログとアクセスログを定期的に確認し、ランタイムアプリケーションセルフプロテクション (RASP) ソリューションを実装する。

他に解説すべき観点

  • 積極的な悪用: この脆弱性は、既に攻撃で悪用されていることが確認されており、CISAのKnown Exploited Vulnerabilities (KEV) カタログにも追加されています。
  • PoCの公開: 脆弱性の概念実証 (PoC) コードが公開されており、悪用のリスクが高まっています。
  • 脆弱性の連鎖: この脆弱性は、CVE-2024-5217やCVE-2024-5178などの他のServiceNowの脆弱性と組み合わせて悪用されることが多く、より大きな影響を与える可能性があります。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る