ServiceNow’daki kritik bir güvenlik açığı, çeşitli sektörlerdeki siber güvenlik profesyonellerinin ve kuruluşlarının dikkatini çekti. Öncelikle Now Platformu kullanıcılarını etkileyen bu sorun, karanlık web forumlarında artan istismar girişimleri ve tartışmalarla vurgulandı. Uzaktan Kod Yürütmeye (RCE) izin veren bu ServiceNow güvenlik açığının etkileri, özellikle Finansal Hizmetler gibi sektörler için önemlidir.
Ünlü bir bulut tabanlı platform olan ServiceNow, kurumsal hizmetleri yönetmek için yaygın olarak kullanılır. Platformun temel işlevi, çözüm paketi aracılığıyla iş süreçlerini otomatikleştirme ve optimize etme etrafında döner. Bunlar arasında BT Hizmet Yönetimi (ITSM), BT Operasyon Yönetimi (ITOM), BT İş Yönetimi (ITBM), Müşteri Hizmetleri Yönetimi (CSM), İnsan Kaynakları Hizmet Sunumu (HRSD) ve Uygulama Geliştirme bulunur.
Tüm bu çözümler Now Platformu olarak bilinen birleşik teknoloji yığınının üzerine inşa edilmiştir.
ServiceNow Güvenlik Açığının Kodunu Çözme
Now Platformu, çeşitli dijital iş akışlarını tek bir tutarlı sisteme entegre ederek verimliliği artırmayı, operasyonel maliyetleri düşürmeyi ve kullanıcı deneyimlerini iyileştirmeyi amaçlamaktadır. Ancak son ifşalar, kullanıcıları için ciddi sonuçları olan bu platformdaki güvenlik açıklarını ortaya çıkarmıştır.
ServiceNow, 10 Temmuz 2024’te Washington DC, Vancouver ve Utah sürümleri de dahil olmak üzere çeşitli Now Platform sürümlerinde üç ciddi güvenlik açığını açıkladı.
Bu güvenlik açıkları, her biri farklı önem derecelerine sahip CVE-2024-4879, CVE-2024-5178 ve CVE-2024-5217 olarak tanımlanmıştır. Kritik bir Jelly Şablon Enjeksiyonu hatası olan CVE-2024-4879, 9,3 CVSS puanıyla Vancouver ve Washington DC sürümlerini etkilemektedir. Eksik Giriş Doğrulaması ile ilgili orta önem derecesine sahip bir sorun olan CVE-2024-5178, 6,9 puanıyla Vancouver, Washington DC ve Utah sürümlerini etkilemektedir.
Başka bir kritik Eksik Giriş Doğrulaması güvenlik açığı olan CVE-2024-5217, Washington DC, Vancouver ve CVSS puanı 9,2 olan önceki sürümleri etkiliyor. Açıklamanın ardından, istismar betikleri ve tarama araçları kamuoyuna açıklandı ve Temmuz 2024 sonuna kadar özellikle Bankacılık, Finansal Hizmetler ve Sigorta (BFSI) sektöründe istismar girişimlerinde gözle görülür bir artışa yol açtı.
Gözlemler ve Kullanım Modelleri
Cyble Research Intelligence Labs (CRIL), bu ServiceNow güvenlik açığının istismarıyla ilgili önemli bir etkinlik gözlemledi. Saldırganlar, ServiceNow’ın güncel olmayan örneklerini belirlemek için otomatik tarama araçları kullanıyor. Bu güvenlik açıkları, tanımlandıktan sonra, veritabanlarından hassas verileri çıkarmak için tasarlanmış özel yükler aracılığıyla istismar ediliyor.
Başarılı bir istismar, saldırganların kullanıcı adları ve parolalar da dahil olmak üzere kritik bilgilere erişmesini sağlar. Bu tür veri ihlalleri yıkıcı olabilir ve etkilenen kuruluşlar için ciddi mali ve itibar kaybına yol açabilir. Özellikle, karanlık web, bu güvenlik açıklarıyla ilgili kavram kanıtları ve kurban veritabanlarını içeren çok sayıda tartışma ve işlem gördü.
Mevcut durumun kritik bir yönü, ServiceNow örneklerinin internette yaygın olarak ortaya çıkmasıdır. Cyble ODIN tarayıcısı, çoğunluğu Amerika Birleşik Devletleri’nde bulunan, internetten erişilebilen 16.000’den fazla ServiceNow örneği tespit etti. Bu kapsamlı ortaya çıkma, ServiceNow güvenlik açıklarının oluşturduğu riski önemli ölçüde artırıyor.
Azaltma Önerileri
Son ServiceNow güvenlik açıklarıyla ilişkili riskleri azaltmak için kuruluşlar birkaç önemli öneriyi takip etmelidir. İlk olarak, belirlenen güvenlik açıklarını gidermek ve bilinen istismarlara karşı koruma sağlamak için ServiceNow tarafından sağlanan en son yamaları uygulamalıdırlar. Yazılımı güncel tutmak güvenlik için önemlidir. Ek olarak, envanter yönetimi, yama değerlendirmesi, test etme, dağıtım ve doğrulamayı kapsayan sağlam bir yama yönetim süreci geliştirilmeli ve sürdürülmelidir.
Bu süreçlerin otomatikleştirilmesi, kritik yamaların tutarlı ve hızlı bir şekilde uygulanmasını sağlayabilir. Ağ segmentasyonu da önemlidir; güvenlik duvarları, VLAN’lar ve erişim kontrolleri uygulamak, kritik varlıkların internet üzerinden açığa çıkmasını önlemeye ve saldırı yüzeyini en aza indirmeye yardımcı olabilir. Ayrıca, hem dahili hem de harici varlıklara ilişkin kapsamlı görünürlüğün sürdürülmesi önemlidir.
Kuruluşlar güncel bir envanter tutmalı ve BT ortamlarını etkili bir şekilde yönetmek için varlık yönetimi araçları ve sürekli izleme kullanmalıdır. ServiceNow platformundaki son güvenlik açıkları, dikkatli olma ihtiyacını vurgulamaktadır. Proaktif olarak yamaları uygulayarak, yama yönetimini iyileştirerek ve ağları segmentlere ayırarak kuruluşlar kendilerini bu tehditlere karşı daha iyi koruyabilirler.