【CVE-2024-8924】ServiceNow Now PlatformにブラインドSQL注入の脆弱性、認証不要で不正アクセスの危険性

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

ServiceNowのNow PlatformにブラインドSQL注入の脆弱性
認証不要で不正な情報抽出が可能な状態に
重要度の高い【CVE-2024-8924】として報告

ServiceNow Now Platformの認証不要なSQL注入の脆弱性

ServiceNowは2024年10月29日、Now Platformにおける認証不要なブラインドSQL注入の脆弱性【CVE-2024-8924】を公開した。この脆弱性は認証されていないユーザーが不正な情報を抽出できる状態であり、CWE-89（SQLコマンドにおける特殊要素の不適切な無効化）に分類されている。^[1]

この脆弱性に対するCVSS v4.0のスコアは8.7（High）であり、攻撃に必要な特権や利用者の関与が不要とされている。ServiceNowはホスト型インスタンスに対してアップデートを展開し、パートナーおよび自社ホスティングの顧客向けにもアップデートを提供することで対応を進めている。

ServiceNowは影響を受けるバージョンとして、Utah Patch 10b Hot Fix 3以前、Vancouver Patch 8 Hot Fix 5以前、Washington DC Patch 7以前、Xanadu Patch 1以前などを挙げている。セキュリティ上の観点から、管理者は速やかにパッチの適用を実施することが推奨される。

ServiceNow Now Platformの脆弱性概要

項目	詳細
脆弱性ID	CVE-2024-8924
脆弱性タイプ	ブラインドSQL注入（CWE-89）
CVSS v4.0スコア	8.7（High）
攻撃条件	認証不要、特権不要
影響範囲	不正な情報抽出が可能

脆弱性の詳細はこちら

ブラインドSQL注入について

ブラインドSQL注入とは、データベースから直接的な結果を得られない状況でも、真偽値の応答を利用して情報を抽出できる攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

データベースの応答を真偽値で判断可能
時間ベースの応答を利用した情報収集が可能
エラーメッセージを利用した脆弱性の特定が困難

ServiceNow Now Platformで発見された脆弱性では、認証されていないユーザーがブラインドSQL注入を利用して不正に情報を抽出できる状態にあった。この種の攻撃は検出が困難であるため、早急なパッチ適用による対策が必要不可欠だ。

ServiceNow Now Platformの脆弱性に関する考察

ServiceNowによる迅速な脆弱性の公開と対応は、セキュリティインシデントに対する企業の責任ある姿勢を示している。特にホスト型インスタンスへの即時アップデート展開は、ユーザーデータを保護する上で重要な施策となっている。今後は認証機能の強化やSQLクエリの厳格なバリデーション実装が求められるだろう。

この脆弱性の発見を契機に、Now Platformのセキュリティ設計全体を見直す必要性が出てきている。特に認証不要でアクセス可能なエンドポイントの精査や、データベースアクセスにおける権限管理の強化が重要な課題となるはずだ。セキュリティテストの範囲拡大や頻度増加も検討に値する。

長期的な視点では、DevSecOpsの導入強化によってセキュリティをソフトウェア開発ライフサイクルに深く組み込む必要がある。継続的なセキュリティ監査とペネトレーションテストの実施によって、同様の脆弱性の早期発見が可能になるだろう。今後はAIを活用した脆弱性検出なども視野に入れるべきだ。