Uočeni su hakeri kako iskorištavaju dvije ranjivosti kritične ozbiljnosti na platformi ServiceNow manje od dvije sedmice nakon što su javno otkrivene, prenosi Resecurity.
ServiceNow je 10. jula najavio zakrpe za sigurnosne defekte, praćene kao CVE-2024-4879 (CVSS rezultat 9,3) i CVE-2024-5217 (CVSS rezultat 9,2). Treća greška, CVE-2024-5178 (CVSS rezultat od 6.9), takođe je riješeno u platformi.
Kritični problemi su opisani kao nedostaci u validaciji unosa koje bi napadači bez autentifikacije mogli iskoristiti za daljinsko izvršavanje koda u kontekstu ServiceNow platforme, široko korištenog rješenja za transformaciju poslovanja.
Treća greška, opisana kao sigurnosni defekt čitanja datoteka, mogla bi omogućiti administratorima pristup osjetljivim datotekama na serveru web aplikacija bez autorizacije.
ServiceNow je objavio zakrpe i hitne ispravke za iteracije Now Platforme u Utahu, Vancouveru i Washingtonu, pozivajući korisnike da ih primjene što je prije moguće.
Assetnote, koji je u maju prijavio ranjivosti ServiceNow-u, 11. jula je objavio tehničke detalje o tri ranjivosti, objašnjavajući kako se one mogu povezati zajedno da bi se dobio potpuni pristup bazama podataka i MID serverima – proxy serverima između instanci ServiceNow hostovanih u oblaku. i poslovne mreže – konfigurisane sa platformom.
Manje od dvije sedmice nakon što su informacije postale javne, Resecurity je primijetio da hakeri ciljaju na ranjive ServiceNow instance radi izviđanja.
„Strani hakeri pokušali su da iskoriste situaciju da izvuku podatke i iz kompanija iz privatnog sektora i iz vladinih agencija širom sveta“, otkriva Resecurity .
Firma za cyber sigurnost ističe da postoji oko 300.000 instanci ServiceNow pristupačnih Internetu podložnih ispitivanju hakera, što „potvrđuje širok i značajan prodor ovog rešenja u poslovno okruženje na globalnom nivou“.
Najveći broj implementacija ServiceNow-a je u SAD-u, Velikoj Britaniji, Indiji i zemljama Evropske unije. Međutim, nejasno je koliko je od ovih slučajeva ranjivo.
Prema Resecurity-ju, primijećeno je više hakera kako masovno skeniraju ranjive ServiceNow instance, ispituju ranjive hostove i pokušavaju da izbace korisničke liste i prikupe metapodatke iz ugroženih instanci.
Napadi su bili usmjereni na organizacije u različitim industrijama, uključujući energetsku kompaniju, organizaciju centara podataka, programera softvera i vladinu agenciju na Bliskom istoku.
“Primjetno, neki od njih nisu bili svjesni objavljene zakrpe, a u nekim slučajevima su koristili zastarjele ili loše održavane instance od strane njihovih programera i softverskih inženjera,” napominje Resecurity.
Kompanija ističe da će ServiceNow instance vjerovatno biti sve više meta napada i da se od posrednika za početni pristup očekuje da unovče pristup kompromitovanim poslovnim portalima i aplikacijama.
„Identifikovano je čavrljanje na više podzemnih foruma na dark web-u, naglašavajući hakeri koji traže kompromitovan pristup IT servisnim stolovima, korporativnim portalima i drugim sistemima preduzeća koji obično pružaju daljinski pristup zaposlenima i izvođačima,“ kaže Resecurity.
Izvor:SecurityWeek