ServiceNow Kusuru Uzaktaki Saldırganların Keyfi Kod Çalıştırmasına İzin Veriyor

ServiceNow yakın zamanda birden fazla Now Platform sürümünü etkileyen ve kimliği doğrulanmamış uzaktan kod yürütülmesine ve yetkisiz dosya erişimine izin veren üç kritik güvenlik açığını (CVE-2024-4879, CVE-2024-5217 ve CVE-2024-5178) açıkladı.

CVSS puanları 6,9 ile 9,3 arasında değişen güvenlik açıkları, veri hırsızlığı, sistem ihlali ve operasyonel kesintiler açısından önemli riskler taşıyor.

Yabancı tehdit aktörlerinin hem özel hem de kamu sektörü kuruluşlarını hedef alan aktif istismar girişimleri tespit edildi ve azaltıldı; bu da sorunun ciddiyetini ortaya koydu.

Dünya genelinde sayıları yaklaşık 300.000’i bulan ve ağırlıklı olarak ABD, İngiltere, Hindistan ve AB’de yoğunlaşan bu türler, potansiyel uzaktan araştırma için önemli bir hedef teşkil ediyor.

Join our free webinar to learn about combating slow DDoS attacks, a major threat today.

Erişim kısıtlamaları değişiklik gösterse de kurumsal ortamlarda yaygın olarak benimsenmesi, ServiceNow’ın dijital iş akışı yönetimi için yaygın bir platform olduğunu doğruluyor.

Ek arama motoru verileri, potansiyel hedefler olarak 13.300 ila 23.000 ağ ana makinesini gösteriyor ve bu durum, saldırganların ağ haritalaması ve keşfi için kullanabileceği geniş saldırı yüzeyini vurguluyor.

Saldırganlar, yamalar yayınlanmadan önce popüler uygulamalardaki güvenlik açıklarından yararlanarak, web sunucuları, uygulamalar ve ağ cihazları hakkında bilgi toplamak için tescilli botlar ve araçlar kullanan arama motoru taramaları aracılığıyla belirlenen işletmeleri hedef alıyor ve böylece saldırganlar için değerli istihbarat oluşturuyor.

Üç kritik ServiceNow güvenlik açığı, yaklaşık 42.000 açık örnekte kimliği doğrulanmamış uzaktan kod yürütülmesine olanak sağladı.

Yama mevcut olmakla birlikte, ağırlıklı olarak finans sektöründe olmak üzere 6.000’den fazla siteyi hedef alan aktif istismar girişimleri gözlemlendi.

Saldırganlar, uzaktan kod yürütmeyi test etmek ve veritabanı kimlik bilgilerini sızdırmak için bu güvenlik açıklarından yararlanır.

Araştırmacılar, güvenlik açığı olan sistemleri tespit etmek için tespit yöntemleri ve otomatik araçlar geliştirdiler. Bu durum, veri ihlallerini ve yetkisiz erişimi önlemek için hızlı yama ve güçlü güvenlik önlemlerinin kritik önemini vurguladı.

Güvenlik açığı ayrıntılarının kamuoyuna açıklanmasının ardından, çok sayıda tehdit aktörü, istismar edilebilir ServiceNow örneklerini belirlemek için agresif tarama kampanyaları başlattı.

Kamuoyuna açıklanan bir kavram kanıtını katalizör olarak kullanan saldırganlar, kimliği doğrulanmamış uzaktan kod yürütülmesine olanak tanıyan kritik bir güvenlik açığı olan CVE-2024-4879’u istismar etmeye odaklandı.

Saldırganlar, başlık enjeksiyonu, şablon enjeksiyonu atlatma ve dosya sistemi filtresi atlatma işlemlerini birleştirerek ServiceNow verilerine eriştiler.

Ağ sensörleri, yükleri enjekte etmeden önce güvenlik açıklarını kontrol etmek ve belirli çarpma sonuçlarıyla yanıtları doğrulamak için kullanılan araştırma isteklerini buldu ve bu, güvenlik açığından yararlanma girişiminin başarılı olduğunu gösteriyor.

Saldırganlar, kötü amaçlı kod enjekte etmek için login.do’daki bir güvenlik açığını kullandı. İlk yük, veritabanı yapılandırma dosyasının yolunu aldı ve potansiyel olarak veritabanı ayrıntılarını açığa çıkardı.

İkinci yük, “sys_user” tablosunu sorguladı ve kullanıcı adları ile parolaları boşaltmaya çalıştı. Parolaların çoğu karma hale getirilmiş ve güvenli kalmış olsa da, sızdırılan kullanıcı adları ve diğer meta veriler saldırganların daha fazla keşif yapmasına yardımcı olabilir.

Popüler bir kurumsal uygulamada yakın zamanda açıklanan bir güvenlik açığı, yayınlanmasından bir hafta sonra aktif olarak istismar edildi ve dünya çapında çeşitli kuruluşları hedef aldı.

Saldırganlar enerji, veri merkezleri, hükümet ve yazılım geliştirme kuruluşlarını başarıyla ele geçirerek, güvenlik açığının yaygın etkisini ortaya koydu.

Resecurity’ye göre, zayıf yama yönetimi ve güncel olmayan sistemler sorunu daha da kötüleştirdi. Toplanan veriler olası siber casusluk olduğunu gösterse de, zamanında yama sürümleri daha fazla hasarı hafifletti.

Tehdit aktörleri, Dark Web’deki ServiceNow gibi kurumsal uygulamaları aktif olarak hedef alıyor ve BT servis masalarına ve kurumsal portallara erişim sağlamaya çalışıyor.

İlk Erişim Aracıları (IAB’ler), çalınan kimlik bilgilerini paraya dönüştürerek ve bilgi hırsızları aracılığıyla veri toplayarak zayıf ağ hijyeninden yararlanır.

Protect Your Business Emails From Spoofing, Phishing & BEC with AI-Powered Security | Free Demo