Actorii de amenințare folosesc împreună vulnerabilitățile ServiceNow folosind exploituri disponibile public pentru a sparge agenții guvernamentale și firme private în atacuri de furt de date.
Această activitate malitioasă a fost raportată de Resecurity, care, după monitorizarea acesteia timp de o săptămână, a identificat mai mulți victime, inclusiv agenții guvernamentale, centre de date, furnizori de energie și firme de dezvoltare software.
Chiar dacă vendorul a lansat actualizări de securitate pentru vulnerabilități pe 10 iulie 2024, zeci de mii de sisteme rămân potențial vulnerabile la atacuri.
ServiceNow este o platformă bazată pe cloud care ajută organizațiile să gestioneze fluxurile de lucru digitale pentru operațiuni enterprise.
Este larg adoptată în diverse industrii, inclusiv organizații din sectorul public, sănătate, instituții financiare și întreprinderi mari. Scanările internet FOFA returnează aproape 300.000 de instanțe expuse pe internet, reflectând popularitatea produsului.
Pe 10 iulie 2024, ServiceNow a făcut hotfix-uri disponibile pentru CVE-2024-4879, o vulnerabilitate critică (punctaj CVSS: 9.3) de validare a intrării care permite utilizatorilor neautentificați să execute cod la distanță pe mai multe versiuni ale platformei Now.
A doua zi, pe 11 iulie, cercetătorii Assetnote care au descoperit vulnerabilitatea au publicat un articol detaliat despre CVE-2024-4879 și alte două vulnerabilități (CVE-2024-5178 și CVE-2024-5217) în ServiceNow care pot fi înlănțuite pentru acces complet la baza de date.
Curând, GitHub a fost inundat cu exploituri funcționale bazate pe articolul și scanere de rețea în vrac pentru CVE-2024-4879, pe care actorii de amenințare le-au folosit aproape imediat pentru a găsi instanțe vulnerabile, raportează Resecurity.
Exploatarea în curs văzută de Resecurity utilizează o injecție de payload pentru a verifica un rezultat specific în răspunsul serverului, urmată de un al doilea payload care verifică conținutul bazei de date.
Dacă reușește, atacatorul descarcă listele de utilizatori și credențialele conturilor. Resecurity spune că în cele mai multe cazuri, acestea erau hash-uite, dar unele dintre instanțele compromise au expus credențiale în text simplu.
Resecurity a observat o discuție intensificată despre vulnerabilitățile ServiceNow pe forumurile subterane, în special de către utilizatorii care caută acces la birourile de servicii IT și portalurile corporative, indicând un interes ridicat din partea comunității de criminalitate cibernetică.
ServiceNow a făcut disponibile fixuri pentru toate cele trei vulnerabilități la începutul acestei luni în buletine separate pentru CVE-2024-4879, CVE-2024-5178 și CVE-2024-5217.
Utilizatorilor li se recomandă să verifice versiunea corectată indicată în avertizări și să se asigure că au aplicat patch-ul pe toate instanțele sau să o facă cât mai curând posibil dacă nu au făcut-o.
CISA avertizează că vulnerabilitatea critică Geoserver GeoTools RCE este exploatată în atacuri
Bug-ul RCE în biblioteca Ghostscript utilizată pe scară largă este acum exploatat în atacuri
SolarWinds rezolvă 8 bug-uri critice în software-ul de audit al drepturilor de acces
Zero-day-ul Windows MSHTML folosit în atacuri malware de peste un an
Hackerii vizează plugin-ul de calendar WordPress utilizat de 150.000 de site-uri
Leave a Reply