BreachForums’daki bir tehdit aktörü, bulut tabanlı BT hizmet yönetim platformundaki yakın zamanda açıklanan iki kritik güvenlik açığından yararlandıktan sonra 105’ten fazla ServiceNow veritabanından e-posta adreslerini ve ilişkili karma değerlerini topladığını iddia ediyor.
Resecurity’nin HUNTER tehdit ekibinden araştırmacılar geçen hafta sonu ServiceNow’daki iki güvenlik açığının (CVE-2024-4879, CVSS puanı 10 üzerinden 9,3; ve CVE-2024-5217, CVSS puanı 9.2 olan kişilerin vahşi doğada aktif olarak istismar edildiğini ve BreachForums üyesinin verileri tüm dilim için 5.000 dolara satışa çıkardığını gördüklerini söylediler.
Bu arada, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) bugün iki hatayı da listesine ekledi. bilinen istismar edilen güvenlik açıkları katalog, son günlerde kusurları istismar etmeye yönelik diğer girişimlere ilişkin çok sayıda rapor arasında. Federal sivil yürütme organı kuruluşlarının ServiceNow’ın yamalarını uygulamak veya sorunu düzeltebilene kadar platformu kullanmayı bırakmak için 19 Ağustos’a kadar süreleri var.
Güvenlik araştırmacıları, ServiceNow’a yönelik saldırıların beklenmesi gerektiğini söyledi. “Karanlık Web’deki birçok yeraltı forumunda, tehdit aktörlerinin tehlikeye atılmış erişim aradığını vurgulayan bir sohbet tespit edildi. BT servis masalarıkurumsal portallar ve tipik olarak sağlayan diğer kurumsal sistemler çalışanlara uzaktan erişim ve müteahhitler,” diye yazdılar. “Bu sistemler, keşif kadar, ön konumlandırma ve saldırı planlaması için de kullanılabilir.”
Kimliği Doğrulanmamış Bir RCE Zinciri Tam Erişime İzin Verir
CVE-2024-4879, ServiceNow’ın “Vancouver” ve “Washington DC” platform sürümlerinde bir girdi doğrulama güvenlik açığıdır. Kimliği doğrulanmamış bir uzak saldırganın keyfi kod yürütmesini sağlar. Satıcı, güvenlik açığını istismar edilmesi kolay ve kullanıcı etkileşimi veya özel koşullar gerektirmeyen bir güvenlik açığı olarak değerlendirmiştir. CVE-2024-5217, Vancouver, Washington DC ve Now’ın önceki sürümlerinde uzaktan kod yürütmeye (RCE) izin veren ve istismar edilmesi kolay olan benzer şekilde kritik bir girdi doğrulama açığıdır.
ServiceNow, 10 Temmuz’da her iki kusur için düzeltmeler yayınladı ve aynı yazılımdaki üçüncü, daha az ciddi bir kusur için de düzeltme yayınladı (CVE-2024-5178). AssetNote üç güvenlik açığını keşfetti ve Mayıs ayında ServiceNow’a bildirerek sorunları “kuruluşların bulut tabanlı örneklere erişmek için kullanabileceği, tam veritabanı erişimine ve tüm sunuculara tam erişime izin veren bir güvenlik açığı zinciri” olarak tanımladılar.
Kamuya açık bir kavram kanıtı (PoC) istismarı hızla yayınlandı ve yaygın saldırıların önünü açtı.
Vahşi Saldırılar Artmaya Başlıyor
Geçtiğimiz hafta yeniden güvenlik birden fazla saldırganın gözlemlendiği bildirildi ServiceNow örneklerini savunmasız olup olmadıklarını kontrol etmek için araştırıyorlar. “Başlangıçta, tehdit aktörleri bir yük enjekte ediyor ve yanıtta belirli bir çarpma sonucunu kontrol ediyorlardı,” diyor Resecurity. Daha sonra saldırganlar veritabanının içeriğini inceleyen ve çıkaran bir yük enjekte ettiler. “Son aşama, kullanıcı listelerini boşaltmayı ve tehlikeye atılmış örneklerden ilişkili meta verileri toplamayı içeriyordu.”
Resecurity araştırmacıları, Dark Reading’e gönderdikleri e-posta yorumlarında, şimdiye kadar yapılan saldırıların Resecurity’nin müşterilerini (bir enerji şirketi, bir veri merkezi kuruluşu, bir Orta Doğu hükümet ajansı ve bir yazılım geliştiricisi dahil), kritik altyapıyı, yabancı hükümetleri ve finansal kuruluşları hedef aldığını belirtti. Araştırmacılar, birden fazla kurbandan alınan geri bildirimlere dayanarak, bazılarının şirket içi veya kendi kendine barındırılan ServiceNow sürümlerini kullandığını veya bir nedenden dolayı şirketten otomatik güncellemeler almayı tercih etmediğini söyledi.
Şirket, “Bazılarının yayınlanan yamadan haberdar olmadığı ve bazı durumlarda geliştiricileri ve yazılım mühendisleri tarafından güncel olmayan veya bakımı kötü yapılmış örnekler kullandığı dikkat çekti” dedi.
Imperva 23 Temmuz’da ayrıca şunları söyledi: gözlemlenen girişimler finans sektöründeki ve diğer birçok sektördeki kuruluşları hedef alan güvenlik açıklarından yararlanmak için. O zamanlar Imperva, 6.000’e yakın sitede istismar girişimleri gözlemlediğini bildirmişti.
Imperva, “Saldırganlar, oturum açma sayfalarını hedeflemek için öncelikle otomatik araçlardan yararlanıyor,” dedi. “Saldırılarda iki ortak yük görüyoruz: biri uzaktan kod yürütmenin (RCE) mümkün olup olmadığını test etmek için, diğeri ise veritabanı kullanıcılarını ve parolalarını göstermek için.”
İnternet taramalarında görülebilen ve dolayısıyla istismar girişimlerinin muhtemel hedefleri olan ServiceNow örneklerinin sayısına ilişkin tahminler, 1000’den fazla 297.700 Ölçeğin en üst ucunda 10.000’in altında bir sayıya kadar.
DoControl’ün kurucu ortağı ve CRO’su Omri Weinberg, “Ne yazık ki, bu savunmasız sistemleri bulup istismar etmek, motive olmuş saldırganlar için pek de zor değil” diyor.
Kendinden Barındırılan MID Sunucuları Hedef Olabilir
ServiceNow yaygın olarak kullanılan bir platformdur ve örnekleri genellikle tehdit aktörlerinin otomatik tarama araçlarını kullanarak nispeten kolayca bulabileceği halka açık bileşenlere sahiptir, diyor Weinberg. Bir saldırgan savunmasız bir örneği bulabildiğinde, “sömürü zinciri yüksek düzeyde teknik karmaşıklık gerektirmez ve bu da onu çok çeşitli saldırganlar için erişilebilir hale getirir.”
Weinberg, hemen yama yapamayan kuruluşların erişim kontrollerini sıkılaştırma, izlemeyi artırma ve mümkünse erişimi yalnızca güvenilir IP aralıklarıyla sınırlama gibi temel güvenlik hijyenine odaklanmalarını öneriyor.
Contrast Security Ürün Güvenliği Direktörü Naomi Buckwalter, ServiceNow dilinde MID sunucuları olarak adlandırılan, kendi barındırdıkları proxy sunucularını kullanarak iç sistemlerini ServiceNow’ın bulut tabanlı platformuna bağlayan kuruluşların yeni kusurlara özellikle dikkat etmeleri gerektiğini söylüyor.
“MID sunucusu doğrudan İnternet’e açık olmasa da, dahili ağı ihlal etmeyi başaran saldırganlar, hassas verilere erişmek ve Now Platform’da çalışan kritik iş operasyonlarını aksatmak için bu kusurları kullanabilirler,” diyor Buckwalter. “En kötü senaryoda, saldırganlar verileri sızdırabilir, dosyaları manipüle edebilir ve gizli bilgilere yetkisiz erişim sağlayabilirler,” diyor. “ServiceNow bu güvenlik açıklarını gidermek için yamalar yayınladı, ancak kendi kendine barındırılan MID sunucularını kullanan kuruluşlar güncellemeleri uygulamamışlarsa yine de risk altında olabilir.”