Tehdit aktörleri, kamuya açık istismarları kullanarak ServiceNow açıklarını bir araya getirerek veri hırsızlığı saldırılarıyla devlet kurumlarına ve özel şirketlere sızıyor.
Bu kötü amaçlı faaliyet, Resecurity tarafından bildirildi ve bir hafta boyunca izleme yapıldıktan sonra hükümet kurumları, veri merkezleri, enerji sağlayıcıları ve yazılım geliştirme firmaları da dahil olmak üzere çok sayıda kurban tespit edildi.
Satıcı, 10 Temmuz 2024’te kusurlara yönelik güvenlik güncellemeleri yayınlasa da on binlerce sistem potansiyel olarak saldırılara karşı savunmasız kalmaya devam ediyor.
Kullanım detayları
ServiceNow, kuruluşların kurumsal operasyonlar için dijital iş akışlarını yönetmelerine yardımcı olan bulut tabanlı bir platformdur.
Kamu sektörü kuruluşları, sağlık hizmetleri, finans kuruluşları ve büyük işletmeler dahil olmak üzere çeşitli sektörlerde yaygın olarak benimsenmiştir. FOFA internet taramaları, ürünün popülerliğini yansıtan yaklaşık 300.000 internete maruz kalmış örneği döndürür.
ServiceNow, 10 Temmuz 2024’te kimliği doğrulanmamış kullanıcıların Now Platformunun birden fazla sürümünde uzaktan kod yürütmesine olanak tanıyan kritik (CVSS puanı: 9,3) bir giriş doğrulama hatası olan CVE-2024-4879 için düzeltmeleri kullanıma sundu.
Ertesi gün, 11 Temmuz’da, açığı keşfeden Assetnote araştırmacıları, ServiceNow’da tam veritabanı erişimi için zincirlenebilen CVE-2024-4879 ve iki diğer açık (CVE-2024-5178 ve CVE-2024-5217) hakkında ayrıntılı bir yazı yayınladı.
Resecurity’nin haberine göre, GitHub kısa sürede CVE-2024-4879’a yönelik yazılanlara ve toplu ağ tarayıcılarına dayanan çalışan istismarlarla doldu ve tehdit aktörleri bunları hemen kullanarak güvenlik açığı bulunan örnekleri buldu.
Resecurity tarafından görülen devam eden istismar, sunucu yanıtında belirli bir sonucu kontrol etmek için bir yük enjeksiyonunu, ardından veritabanı içeriğini kontrol eden ikinci aşama bir yükü kullanır.
Başarılı olursa saldırgan kullanıcı listelerini ve hesap kimlik bilgilerini boşaltır. Resecurity, çoğu durumda bunların karma olduğunu ancak ihlal edilen örneklerin bazılarının düz metin kimlik bilgilerini ifşa ettiğini söylüyor.
Resecurity, özellikle BT servis masalarına ve kurumsal portallara erişim arayan kullanıcılar tarafından yeraltı forumlarında ServiceNow kusurları hakkında artan bir sohbet gördü ve bu da siber suç topluluğunun büyük ilgisini gösteriyor.
ServiceNow, bu ayın başlarında CVE-2024-4879, CVE-2024-5178 ve CVE-2024-5217 için ayrı bültenlerde üç güvenlik açığının tamamına yönelik düzeltmeleri kullanıma sundu.
Kullanıcıların uyarılarda belirtilen düzeltilmiş sürümü kontrol etmeleri ve yamanın tüm örneklere uygulandığından emin olmaları veya henüz uygulamamışlarsa en kısa sürede bunu yapmaları önerilir.