เมนู

ServiceNow เผยพบช่องโหว่ RCE ถูกนำไปใช้ขโมยข้อมูลประจำตัว

25 กรกฏาคม 2567 | วรเมธ บุญทศ

ServiceNow เผยพบช่องโหว่ RCE ถูกนำไปใช้ขโมยข้อมูลประจำตัว

ServiceNow เป็นแพลตฟอร์มบนคลาวด์ที่ช่วยให้องค์กรจัดการ Workflow ดิจิทัลสำหรับการดำเนินงานขององค์กร ซึ่งถูกนำมาใช้อย่างแพร่หลายในหลากหลายอุตสาหกรรม รวมถึงหน่วยงานภาครัฐ สาธารณสุข สถาบันการเงิน และองค์กรขนาดใหญ่ การตรวจสอบบนเว็บไซต์ของ FOFA พบอินสแตนซ์ที่เปิดเผยต่ออินเทอร์เน็ตเกือบ 300,000 รายการ สะท้อนให้เห็นถึงความนิยมของผลิตภัณฑ์นี้

เมื่อวันที่ 10 กรกฎาคม 2567 ServiceNow ได้ปล่อยแพตช์แก้ไขช่องโหว่ CVE-2024-4879 ซึ่งเป็นช่องโหว่ระดับ Critical (คะแนน CVSS: 9.3) เกี่ยวกับการตรวจสอบข้อมูลเข้า ทำให้ผู้ใช้ที่ไม่ได้รับอนุญาตสามารถทำการรันโค้ดระยะไกลบน Now Platform หลายเวอร์ชันได้

รายละเอียดของช่องโหว่

CVE-2024-4879 (9.8) เป็นช่องโหว่ที่พบในแพลตฟอร์ม ServiceNow เวอร์ชัน Vancouver และ Washington DC Now Platform ผู้โจมตีอาจใช้ประโยชน์จากช่องโหว่นี้เพื่อเข้าควบคุมระบบจากระยะไกล ทำให้ข้อมูลสำคัญรั่วไหล หรือทำให้ระบบไม่สามารถใช้งานได้ซึ่งอาจนำไปสู่ความเสี่ยงร้ายแรงต่อระบบและข้อมูลขององค์กร

ผลกระทบที่อาจเกิดขึ้น

  • การเข้าควบคุมระบบโดยไม่ได้รับอนุญาต: ผู้โจมตีอาจเข้าควบคุมระบบ ServiceNow ได้อย่างสมบูรณ์
  • การรั่วไหลของข้อมูล: ข้อมูลที่สำคัญและละเอียดอ่อนภายในระบบอาจถูกขโมยไป
  • การทำลายระบบ: ผู้โจมตีอาจทำลายระบบหรือข้อมูลภายในระบบได้
  • การปฏิเสธการให้บริการ: ผู้โจมตีอาจทำให้ระบบ ServiceNow ไม่สามารถใช้งานได้

วันที่ 11 กรกฎาคม 2567 นักวิจัยจาก Assetnote ซึ่งเป็นผู้ค้นพบช่องโหว่นี้ได้เผยแพร่รายละเอียดเกี่ยวกับ CVE-2024-4879 และอีกสองช่องโหว่ (CVE-2024-5178 และ CVE-2024-5217) ใน ServiceNow ซึ่งสามารถเชื่อมต่อกันเพื่อเข้าถึงฐานข้อมูลได้ทั้งหมด

รายละเอียดของช่องโหว่

CVE-2024-5178 (4.9) เป็นช่องโหว่ด้านความปลอดภัยที่พบใน ServiceNow Now Platform โดยเฉพาะในเวอร์ชัน Washington DC, Vancouver และ Utah ช่องโหว่นี้มีความร้ายแรง เนื่องจากอาจเปิดโอกาสให้ผู้ใช้ที่มีสิทธิ์เข้าถึงระดับผู้ดูแลระบบ (administrative user) สามารถเข้าถึงไฟล์ที่ละเอียดอ่อนบนเว็บเซิร์ฟเวอร์ของแอปพลิเคชันได้โดยไม่ได้รับอนุญาต

ผลกระทบที่อาจเกิดขึ้น

  • การเข้าถึงข้อมูลที่ละเอียดอ่อน: ผู้โจมตีอาจใช้ช่องโหว่นี้เพื่อเข้าถึงข้อมูลที่สำคัญ เช่น ข้อมูลส่วนบุคคล ข้อมูลทางการเงิน หรือข้อมูลทางธุรกิจที่เป็นความลับ
  • การขโมยข้อมูล: ผู้โจมตีอาจคัดลอกหรือดาวน์โหลดข้อมูลที่ละเอียดอ่อนออกจากระบบ
  • การทำลายข้อมูล: ในบางกรณี ผู้โจมตีอาจทำลายข้อมูลที่สำคัญได้
  • การควบคุมระบบ: ในสถานการณ์ที่ร้ายแรง ผู้โจมตีอาจใช้ช่องโหว่นี้เพื่อเข้าควบคุมระบบ ServiceNow ได้อย่างสมบูรณ์

CVE-2024-5217 (9.8) เป็นช่องโหว่ร้ายแรงที่พบในแพลตฟอร์ม ServiceNow ซึ่งเป็นแพลตฟอร์มสำหรับการบริหารจัดการไอทีที่ได้รับความนิยมอย่างแพร่หลาย ช่องโหว่นี้เกิดจากข้อบกพร่องในการตรวจสอบความถูกต้องของการป้อนข้อมูลเข้า ทำให้ผู้โจมตีสามารถส่งคำสั่งที่เป็นอันตรายเข้าสู่ระบบและเข้าควบคุมระบบได้โดยไม่ต้องมีสิทธิ์เข้าถึงที่ถูกต้อง

ผลกระทบที่อาจเกิดขึ้น

  • การเข้าควบคุมระบบโดยไม่ได้รับอนุญาต: ผู้โจมตีสามารถเข้าควบคุมระบบ ServiceNow ได้อย่างสมบูรณ์
  • การเข้าถึงข้อมูลที่ละเอียดอ่อน: ข้อมูลที่สำคัญ เช่น ข้อมูลลูกค้า ข้อมูลพนักงาน และข้อมูลภายในองค์กร อาจถูกเปิดเผยหรือถูกนำไปใช้ในทางที่ผิด
  • การทำลายระบบ: ผู้โจมตีอาจทำลายระบบ ServiceNow หรือใช้เป็นฐานในการโจมตีระบบอื่นๆ ในเครือข่าย

ช่องโหว่ของ ServiceNow เพิ่มขึ้นมากขึ้นบนดาร์กเว็บ โดยเฉพาะอย่างยิ่งจากผู้ใช้ที่ต้องการเข้าถึงศูนย์บริการ IT และพอร์ทัลขององค์กร ซึ่งบ่งชี้ถึงความสนใจสูงจากกลุ่มอาชญากรไซเบอร์ หากโจมตีสำเร็จผู้โจมตีจะดึงข้อมูลรายชื่อผู้ใช้และข้อมูลรับรองบัญชี ในกรณีส่วนใหญ่ ข้อมูลเหล่านี้ถูกเข้ารหัส แต่บางกรณีข้อมูลรับรองบัญชีแบบข้อความธรรมดาก็ถูกเปิดเผยเช่นกัน

คำแนะนำและแนวทางแก้ไข

ServiceNow ได้ปล่อยแพตช์แก้ไขช่องโหว่ทั้งสามช่องโหว่เมื่อต้นเดือนนี้ในประกาศแยกกันสำหรับ CVE-2024-4879, CVE-2024-5178 และ CVE-2024-5217 ผู้ใช้ควรตรวจสอบเวอร์ชันที่แก้ไขตามที่ระบุในคำแนะนำ และตรวจสอบให้แน่ใจว่าได้ติดตั้งแพตช์บนอินสแตนซ์ทั้งหมดแล้ว หรือทำการติดตั้งโดยเร็วที่สุดหากยังไม่ได้ดำเนินการ

  • อัปเดตซอฟต์แวร์และระบบปฏิบัติการอยู่เสมอ
  • ฝึกอบรมพนักงานเกี่ยวกับวิธีการระบุและหลีกเลี่ยงกลอุบายทางไซเบอร์
  • มีแผนสำรองข้อมูลและกู้คืนข้อมูล
  • ตรวจสอบการเข้าถึงเครือข่ายอย่างสม่ำเสมอและจำกัดการเข้าถึงข้อมูลที่ละเอียดอ่อน

ข้อมูลอ้างอิง

Critical ServiceNow RCE flaws actively exploited to steal credentials | Bleepingcomputer