外国威胁行为者利用 ServiceNow 漏洞媒体

关键要点

在信息安全领域，最近有消息称许多大型企业，尤其是占据《财富》500 强的 85 的公司，正在使用 ServiceNow 平台。这使得外部威胁者利用 ServiceNow IT 服务工单平台中的两个关键漏洞以及一个中等严重性漏洞的事件变得尤为严重。

根据 Resecurity 7 月 24 日的博文，这些漏洞可能允许未经过身份验证的远程攻击者在 Now Platform 中执行任意代码，从而可能导致系统的危害、数据泄露和业务运营的中断。NIST 描述这些漏洞为输入验证漏洞，已在 Vancouver 和华盛顿特区版本的 Now Platform 中被发现。

Resecurity 的研究指出，大约有 30 万个 ServiceNow 实例可能受到攻击者的远程探测。这一数据表明该解决方案在全球企业环境中的广泛使用，最大的实例数量分别位于美国、英国、印度和欧盟。

在超过两周前，ServiceNow 发布了修补程序和热修复以减轻这些漏洞所带来的风险。

针对输入验证漏洞，DoControl 的产品副总裁 Guy Rosenthal 表示，这使得攻击者能够注入恶意代码，从而危及系统并可能导致数据外泄。他指出，这些漏洞允许网络罪犯读取文件，这意味着攻击者可以遍历系统并操控文件路径，自由进入任何他们想要查看或窃取的内容。此外，这些漏洞导致了他们在系统中放置的恶意代码的远程执行。

clash verge

“这三个漏洞赋予攻击者在 ServiceNow 平台上完全自由的权限，”Rosenthal 表示。他强调，采用安全的软件开发生命周期SDLC是软件工程团队能够实施的重要步骤。使用 SDLC 不会增加工作流程的额外时间，而对这些漏洞的测试结果将导致更清晰的代码和更高的客户满意度。

Bambenek Consulting 的总裁 John Bambenek 解释了输入验证漏洞的本质：当一个应用程序期望接收某种类型的输入例如电话号码，但却收到其他内容如 shell 脚本时，就会出现这种漏洞。他指出，在这种情况下，没有经过身份验证的用户可能会向 ServiceNow 安装发出命令并提取信息。

“由于 ServiceNow 的功能，这些应用程序中的数据包含了组织运行其技术的敏感技术细节，简直是一座宝藏，”Bambenek 说。“除了打补丁，组织可以在这些应用程序前设置 Web 应用程序防火墙，以帮助发现和阻止异常输入。”