ServiceNow Güvenlik Açığı Uyarısı: Bilgisayar korsanları, veritabanı erişimi için yıllık kusurları (CVE-2024-4879, CVE-2024-5217, CVE-2024-5178) aktif olarak kullanıyor. Sistemlerinizi nasıl koruyacağınızı öğrenin.
Tehdit istihbarat firması Greynoise’deki güvenlik araştırmacıları, kuruluşların dijital iş akışlarını otomatikleştirmelerine ve yönetmelerine yardımcı olan bulut tabanlı bir platform içinde daha önce açıklanmış üç güvenlik açıklarını hedefleyen kötü amaçlı etkinliklerde önemli bir artış hakkında bir uyarı yayınladılar.
CVE-2024-4879, CVE-2024-5217 ve CVE-2024-5178 olarak tanımlanan bu güvenlik açıkları, başlangıçta Mayıs 2024’te AssetNote’un güvenlik araştırmacısı Adam Kues tarafından açıklandı ve daha sonra Temmuz 2024’te ServicEnow tarafından yamalandı.
Yamaların mevcudiyetine rağmen, Geynoise bu kusurlardan yararlanmayı amaçlayan “volild faaliyetin yeniden canlanması” gözlemlemiştir. Saldırı girişimlerindeki bu artış, son 24 saat içinde algılanan etkinlik ile önemli sayıda benzersiz IP adresi gördü. Özellikle, 36 tehdit IP’leri CVE-2024-5178’i hedeflerken, 48 tehdit IP’lerinin her biri CVE-2024-4879 ve CVE-2024-5217’yi hedefledi.
Coğrafi olarak, geçen hafta oturumların% 70’ini aşan gözlemlenen kötü niyetli aktivitenin çoğu İsrail’de bulunan sistemlere yöneliktir. Bununla birlikte, Litvanya, Japonya ve Almanya’da hedeflenen sistemler de tespit edildi, sadece İsrail ve Litvanya en son 24 saatlik dönemde faaliyet yaşıyor. Bu coğrafi odak noktası hedeflenen bir kampanya olasılığını göstermektedir.
CVE-2024-4879 bir şablon enjeksiyon güvenlik açığıdır. Bilgileriniz için şablon enjeksiyon güvenlik açıkları, kullanıcı tarafından sağlanan giriş, uygun dezenfektan olmadan bir şablon motoruna eklendiğinde meydana gelir. ServiceNow bağlamında bu, saldırganların platform tarafından kullanılan şablonlara kötü amaçlı kod enjekte etmesine izin verebilir. Başarılı sömürü uzaktan kod yürütülmesine yol açabilir, yani saldırganlar ServiceNow örneğini barındıran sunucunun kontrolünü ele geçirebilir.
CVE-2024-5217 ve CVE-2024-5178, saldırganların verileri manipüle etmesini ve güvenlik kontrollerini atlamasını sağlayabilen giriş doğrulama hataları içerir. Uygulamalar kullanıcı tarafından sağlanan girişi düzgün bir şekilde doğrulayamadığında giriş doğrulama güvenlik açıkları ortaya çıkar.
Güvenlik açıkları özellikle ilgilidir, çünkü başlangıçta AssetNote tarafından belirtildiği gibi ve Greynoise tarafından yeniden teyit edildiği gibi, etkilenen hizmet örneklerine “tam veritabanı erişimi” elde etmek için birlikte zincirlenebilirler. Bu, çalışan bilgileri ve İK kayıtları da dahil olmak üzere hassas verileri yönetmek için ServiceNow’a güvenen kuruluşlar için önemli bir risk oluşturmaktadır.
ServiceNow’un sözcüsü Erica Faltous, neredeyse bir yıl önce bu güvenlik açıklarından haberdar olduklarını ve koordineli bir saldırı kampanyasından bugüne kadar herhangi bir müşteri etkisi gözlemlemediklerini belirtti. Ancak, tehdit göz ardı edilemez. Bu nedenle Greynoise, ServiceNow kullanan kuruluşların riski azaltmak için derhal harekete geçmesini önerir. Bu, en son güvenlik yamalarının uygulanmasını, yönetim arayüzlerine erişimi kısıtlamayı ve şüpheli etkinlikleri izlemeyi içerir.
Appomni SaaS Güvenlik Araştırma Şefi Aaron Costello, tam veritabanlarına kime doğrulanmamış erişime izin verdiği için güvenlik açığının şiddetli olduğunu vurguladı. Satıcının güncellemeleri ele aldığı buluta sahip versiyonların aksine, güvenlik yamalarını güncellemeyen şirket içi hizmet sistemleri risk altındaydı. IP adresi erişim kontrollerinin uygulanması sömürünün önlenmesi olabilir. Costello, özellikle şirket içi SaaS yazılımı için güvenlik yamalarına ayak uydurmanın önemini vurguladı.