ServiceNow adalah platform yang sangat penting untuk manajemen layanan TI, dan keamanannya menjadi prioritas utama bagi bisnis yang bergantung pada platform ini untuk menjalankan operasional mereka. Baru-baru ini, ditemukan kerentanan kritis yang dapat memungkinkan penyerang untuk mengakses semua data dalam instance ServiceNow. Kerentanan ini, yang teridentifikasi sebagai CVE-2024-4879, memiliki skor CVSS awal sebesar 9,3 dan dapat digabungkan dengan dua kerentanan lainnya (CVE-2024-5178 dan CVE-2024-5217) untuk melakukan eksekusi kode jarak jauh tanpa autentikasi. Saat ini, PoC (Proof of Concept) tersedia hanya untuk kerentanan pertama.
Pelanggan Imperva secara otomatis terlindungi dari kerentanan ini. Teruslah membaca untuk mendapatkan informasi lebih lanjut tentang bug ini dan langkah-langkah tambahan yang dapat Anda ambil untuk melindungi data Anda.
Gambaran Umum Kerentanan
Peneliti telah mengidentifikasi rangkaian tiga kerentanan yang, jika digunakan secara bersamaan, dapat memberikan akses tidak sah ke seluruh data dalam instance ServiceNow. Kerentanan ini berdampak pada banyak situs ServiceNow di berbagai industri, menegaskan pentingnya langkah cepat untuk melindungi lingkungan tersebut.
Penjelasan Tiga Kerentanan
- CVE-2024-4879: Bypass Autentikasi
Kerentanan pertama memungkinkan penyerang melewati proses autentikasi, sehingga mendapatkan akses yang tidak sah ke platform ServiceNow. Dengan mengeksploitasi kelemahan ini, penyerang dapat menjalankan kode dari jarak jauh pada platform tersebut.
- CVE-2024-5178: Kenaikan Hak Istimewa
Kerentanan kedua memungkinkan penyerang untuk meningkatkan hak istimewa mereka dalam lingkungan ServiceNow. Bug ini sangat berbahaya karena memberikan akses administratif kepada penyerang, mempermudah manipulasi data dan pengaturan sistem.
- CVE-2024-5217: Akses Data Sembarangan
Kerentanan ketiga memungkinkan penyerang untuk mengakses data secara sembarangan, memberi mereka kemampuan untuk melihat dan mengekstrak data apa pun yang tersimpan di dalam instance ServiceNow. Ini mencakup informasi rahasia, data pelanggan, dan komunikasi internal, yang dapat mengancam privasi data dan operasi bisnis.
Dampak pada Situs yang Terkena
Eksploitasi terhadap kerentanan ini telah terpantau di lebih dari 6.000 situs di berbagai industri, dengan penekanan pada sektor jasa keuangan. Para penyerang umumnya memanfaatkan alat otomatis untuk menargetkan halaman login. Kami mengidentifikasi dua jenis payload yang sering digunakan dalam serangan ini: satu untuk menguji kemungkinan eksekusi kode jarak jauh (RCE), dan yang lainnya untuk menampilkan pengguna dan kata sandi basis data. Risiko terhadap pelanggaran data dan akses tidak sah ke informasi sensitif menegaskan pentingnya penanganan segera terhadap masalah ini.
Strategi Mitigasi dan Perlindungan
Pelanggan Imperva sudah mendapatkan perlindungan otomatis terhadap kerentanan ini. Namun, ada baiknya untuk menerapkan langkah-langkah keamanan tambahan, seperti:
- Pembaruan dan Patching: ServiceNow telah menyediakan patch untuk mengatasi kerentanan ini. Pastikan semua instance ServiceNow Anda diperbarui dengan patch keamanan terbaru. Lakukan pengecekan dan penerapan pembaruan secara berkala untuk menjaga keamanan sistem Anda.
- Pantau dan Audit Akses: Secara rutin, pantau dan audit log akses untuk mendeteksi aktivitas yang mencurigakan atau tidak sah. Atur pemberitahuan untuk upaya login yang mencurigakan dan lakukan investigasi segera untuk mencegah potensi pelanggaran.
- Edukasi dan Latihan Staf: Berikan edukasi kepada staf mengenai pentingnya keamanan dan risiko spesifik yang terkait dengan kerentanan ini. Selenggarakan sesi pelatihan secara teratur untuk memastikan bahwa seluruh karyawan memahami praktik terbaik dalam menjaga keamanan lingkungan ServiceNow.
Kesimpulan
Penemuan kerentanan kritis terbaru di ServiceNow menegaskan betapa pentingnya kewaspadaan dan langkah-langkah keamanan yang proaktif. Dengan memahami kerentanan ini dan menerapkan strategi perlindungan yang disarankan, Anda dapat melindungi data Anda serta memastikan integritas sistem ServiceNow Anda tetap terjaga. Selalu perbarui informasi Anda, jaga keamanan, dan segera ambil langkah untuk melindungi bisnis Anda dari potensi ancaman.
Berlangganan laporan Intelijen Ancaman mingguan kami untuk mendapatkan informasi terkini tentang ancaman keamanan siber dan praktik terbaik. Tetap unggul dan pastikan keamanan data Anda terjaga!
Ingin tahu lebih banyak mengenai imperva, silahkan hubungi imperva@ilogoindonesia.id
