深入解析CVE-2024-4879：ServiceNow平台的关键输入验证漏洞

理解CVE-2024–4879：ServiceNow的一个关键漏洞

概述

CVE-2024–4879是ServiceNow温哥华版和华盛顿特区版Now平台中的一个严重输入验证漏洞。该缺陷允许未经身份验证的用户在ServiceNow环境中远程执行任意代码，构成了重大的安全风险，包括潜在的数据泄露和未经授权的系统访问。

技术细节

该漏洞源于不当的输入验证，攻击者可利用此漏洞绕过安全控制并注入恶意代码，从而实现在无需身份验证的情况下进行远程代码执行。具体来说，该漏洞涉及三个问题的串联：标题注入、模板注入缓解措施绕过以及文件系统过滤器绕过。这些问题的结合使攻击者能够访问敏感数据并在受影响的ServiceNow实例上执行任意命令。

攻击示例

攻击者通常首先注入有效载荷来测试远程代码执行能力。例如，精心构造的输入可能会执行代码以检索数据库配置文件的路径，从而可能暴露数据库凭据。进一步的利用可能涉及从系统中转储用户列表和其他敏感信息。

实际影响

该漏洞影响了全球范围内大量的ServiceNow实例，尤其是在金融、政府和软件开发等行业。在漏洞披露后不久，就检测到了活跃的利用尝试，对手正在扫描并针对易受攻击的实例。不过，根据ServiceNow迄今为止的调查，没有证据表明本文和Resecurity博客文章中提到的活动与ServiceNow托管的实例有关。

缓解与修复

2024年5月14日，ServiceNow发现了该漏洞，并于当天迅速部署了更新。在2024年7月10日之前，发布了一系列旨在解决此问题的补丁。ServiceNow鼓励自托管和ServiceNow托管的客户（如果尚未应用）应用相关补丁。此外，ServiceNow继续为需要协助应用这些补丁的客户提供直接支持。

应用补丁的步骤

1. 识别受影响系统： 确定您的ServiceNow实例是否正在运行易受攻击的版本。
2. 下载补丁： 获取ServiceNow为温哥华版和华盛顿特区版提供的补丁。
3. 应用补丁： 遵循ServiceNow官方文档来应用补丁，并确保所有系统都已更新。

补丁参考链接：

• 温哥华版补丁：ServiceNow Patch
• 华盛顿特区版补丁：ServiceNow Patch

结论

CVE-2024–4879是一个严重的漏洞，凸显了及时修补管理和主动安全措施的重要性。通过理解其技术细节并遵循最佳的缓解实践，组织可以保护其ServiceNow实例免受潜在攻击，并维持强大的网络安全防御。

如需更详细的信息和更新，请参阅ServiceNow官方支持页面和美国国家漏洞数据库。

信息来源：

• 美国国家漏洞数据库：NVD CVE-2024–4879
• 网络安全新闻：ServiceNow Flaw
• CVE新闻：CVE-2024–4879 Details
• Resecurity：Global Reconnaissance Campaign CSD0tFqvECLokhw9aBeRqgzMWoT3AX/+bU4PBIwC6Dj+smv6L1z3OQsI3j5b8IW8UVLJmzD+o19yH1I7mL/rjMyYFmpCVfwSowy5kN9keKnDszIzp6n0dfVV9QRlVWYyzIZrkF4E1L+PFuTGAuawQVeybqeBUQFzPtWDE1WGWd8=