破绽情况 【ONSD-369】S1 5周年記念16時間スペシャル RED
■ 破绽布景
ServiceNow是一家提供企业级云奇迹的软件公司,提供企业管束和自动化奇迹的云表平台。ServiceNow平台主要针对IT奇迹管束(ITSM)、IT运营管束(ITOM)、和IT业务管束(ITBM)等方面,旨在匡助企业更高效地管束、运营和提供奇迹,从而耕作全体的业务运营后果。近日,ServiceNow IT奇迹管束平台中发现了三个关键破绽,表示了包括政府机构、数据中心、动力供应商和软件开发公司在内的105多个企业的敏锐信息,这些破绽(CVE-2024-4879、CVE-2024-5217和CVE-2024-5178)正在被积极欺骗,挫折者或者绕过身份考据、拜访纵脱数据并耕作权限,从而而已履行代码和窃取数据。
■ 破绽细目
ServiceNow的Jelly模板和Glide抒发式由于未对输入的数据进行过滤,未流程身份考据的坏心挫折者通过构造罕见央求,在方针奇迹器上履行纵脱代码。
■ 破绽复现
构造坏心央求,履行敕令,敕令履行收效。
■ 影响鸿沟
CVE-2024-4879:ServiceNow Jelly模板注入破绽ServiceNow UI宏中存在Jelly模板注入破绽,未经身份考据的恐吓者可欺骗该破绽注入坏心代码,从而绕过安全法例、窃取敏锐信息或导致而已履行代码,该破绽的CVSS评分为9.3。CVE-2024-5217:ServiceNow Glide抒发式注入破绽由于 GlideExpressionScript 类中对用户输入过滤不妥【ONSD-369】S1 5周年記念16時間スペシャル RED,未经身份考据的恐吓者可通过/login.do接口的jvar_page_title参数传递坏心试验导致而已代码履行,该破绽的CVSS评分为9.2。CVE-2024-5178:ServiceNow文献读取信息暴露破绽由于SecurelyAccess API 中存在输入考据不完善,可能导致管束用户未经授权拜访 Web 应用身手奇迹器上的敏锐文献,变成信息暴露,该破绽的CVSS评分为6.9。
■ 严重品级
处置状态
1、升级版块
幼女如厕当今该破绽已部分开发,实时更新补丁或升级到最新版块。
下载贯穿:
https://support.servicenow.com/now
2、通用暴戾
按期更新系统补丁,减少系统破绽,耕作奇迹器的安全性。
加强系统和麇集的拜访法例,修改防火墙战略,关闭非必要的应用端口或奇迹,减少将危机奇迹(如SSH、RDP等)表示到公网,减少挫折面。
使用企业级安全居品,耕作企业的麇集安全性能。
加强系统用户和权限管束,启用多要素认证机制和最小权限原则,用户和软件权限应保捏在最低舍弃。
启用强密码战略并竖立为按期修改。
科罚有野心
■ ManageEngine卓豪科罚有野心
1、救助末端管束平台(Endpoint Central)全主张检测安全隐患,通过救助的法例台,对多系统、多末端,风险和破绽、安全无理设置、Web奇迹器无理设置、高风险软件(报废软件、而已桌面分享软件和P2P软件)等进行全面扫描、捏续监测、严格评估,和好意思满开发。并救助进行补丁管束、软件分发、IT财富管束、而已故障摈斥、数据安全管束、系统安设、欺诈软件保护等来简化您的末端管束。2、特权拜访管束平台(PAM360)从中央法例台自动发现、安设、存储和管束正在使用的特权用户、帐户和资源,全面管束奇迹器、麇集斥地、数据库以及各式应用身手的密码,实时审计特权拜访【ONSD-369】S1 5周年記念16時間スペシャル RED,实施状态密码战略、追踪密码拜访历史、法例用户违警使用,结束企业密码的安全管束和使用。并使用AI和ML启动超过检测功能作念出安全决策。3、数字化救助奇迹管束平台(ServiceDesk Plus)ServiceDesk Plus在腹地和云表齐可使用,是寻求具有相应投资薪金率的可耕作、安全和可耕作的IT和企业奇迹管束(ITSM)科罚有野心的企业的理念念遴选。巨匠越过3/5的寰球五百强企业在使用ServiceDesk Plus赋能IT奇迹管束。软件源自匠心,IT改换寰球用科技让责任与生涯更粗心好意思好卓豪(zoho)于1996年景立,于今已踏实发展28年。寰球500强企业越过70%齐在使用ManageEngine卓豪居品;28年里坚捏以技艺为导向,以科罚用户需求为起点。恒久提供IT前沿技艺为用户创造更大价值。