După Jira hackerii atacă alt sistem de ticketing pentru companii.
Hackerii își intensifică încercările de a exploata trei vulnerabilități vechi de un an ServiceNow pentru a pătrunde în instanțe ale companiilor care nu au aplicat patch-ul software care corectează aceste vulnerabilități, au avertizat cercetătorii de securitate săptămâna aceasta anunță TechCrunch.
ServiceNow este o companie de software care oferă o platformă bazată pe cloud, bazată pe inteligență artificială, pentru automatizarea fluxurilor de lucru multiple de management în întreprinderi.
Ajută organizațiile să eficientizeze fluxurile de lucru, să automatizeze procesele de afaceri și să îmbunătățească eficiența în IT, HR, serviciul clienți, securitate și alte departamente.
ServiceNow are aproape 300.000 de instanțe expuse la internet, ceea ce o face o soluție destul de populară.
Unii dintre clienții săi includ Coca-Cola (o folosește pentru eficientizarea managementului serviciilor IT), Dell (automatizarea și managementul serviciilor IT), Deloitte (automatizarea și optimizarea serviciilor IT) și statul California (gestionarea serviciilor și operațiunilor IT la nivel de stat).
Startup-ul GreyNoise a declarat într-o postare pe blog că a observat o „resurgență notabilă a activităților ilegale” care vizează cele trei vulnerabilități ServiceNow, urmărite ca CVE-2024-4879, CVE-2024-5178 și CVE-2024-5217.
Vulnerabilitățile au fost dezvăluite pentru prima dată de cercetătorii de la Assetnote pe 14 mai 2024 și reparate de ServiceNow în aceeași zi. Detaliile erorilor au fost dezvăluite public mai târziu, în iulie 2024.
Cu toate acestea, se pare că multe organizații nu au primit nota (care a fost lansată în iulie același an, când CVE-urile au fost lansate ca parte a unui efort coordonat cu Assetnote), deoarece instanțele lor au rămas necorectate, nu au aplicat patch-ul software și au devenit acum o țintă, potrivit cercetătorilor de la GreyNoise.
După cum s-a observat pentru prima dată de Assetnote anul trecut, GreyNoise confirmă, de asemenea, că vulnerabilitățile pot fi înlănțuite pentru „acces complet la baza de date” a instanțelor ServiceNow afectate. Organizațiile folosesc adesea platforma ServiceNow pentru a găzdui date sensibile despre angajații lor, inclusiv informațiile lor de identificare personală și înregistrările de resurse umane legate de angajarea lor.
Atacatorii ar injecta o sarcină utilă care verifică un rezultat specific în răspunsul serverului. Dacă îl obține pe cel adecvat, implementează o încărcătură utilă din a doua etapă care verifică conținutul bazei de date.
Ultimul pas este descărcarea listelor de utilizatori și acreditările conturilor. Deși de cele mai multe ori acreditările sunt protejate prin hashing, există câteva exemple în care acreditările au fost descărcate în text simplu.
Acest lucru poate duce la compromiterea contului care, la rândul său, poate avea consecințe devastatoare, cum ar fi atacurile ransomware.
ServiceNow a declarat pentru TechCrunch că a aflat pentru prima dată despre vulnerabilități „în urmă cu aproape un an” și „până în prezent, nu am observat niciun impact asupra clienților în urma unei campanii de atac”.
În urma dezvăluirii defectelor de către Assetnote anul trecut, firma de securitate americană Resecurity a avertizat că actorii străini amenințări au încercat să exploateze cele trei vulnerabilități ServiceNow pentru a viza atât companiile din sectorul privat, cât și agențiile guvernamentale din întreaga lume.
Resecurity a spus că a văzut încercări direcționate la o companie de energie, o organizație de centru de date, o agenție guvernamentală din Orientul Mijlociu și un dezvoltator de software.
Compania de securitate cibernetică Imperva a lansat un alt raport în iulie 2024, avertizând că a observat și încercări de exploatare pe 6.000 de site-uri din diverse industrii, cu accent pe sectorul serviciilor financiare.
