威胁行为者正在利用公开的漏洞将 ServiceNow 漏洞链接在一起,以便在数据盗窃活动中渗透到政府组织和商业公司。
安全研究人员监控了恶意活动并确定了多个受害者,包括政府机构、数据中心、能源供应商,甚至软件开发公司。
尽管该公司于 2024 年 7 月 10 日通过安全升级修复了这些漏洞,但数以万计的系统仍可能受到入侵。
ServiceNow 是一个被广泛采用的基于云的平台,可帮助组织管理企业运营的数字工作流程。它被各行各业的公司使用,包括公共部门组织、医疗保健、金融机构和大型企业。
有关利用的详细信息
ServiceNow 于 2024 年 7 月 10 日提供了针对 CVE-2024-4879 的修补程序,CVE-2024-4879 是一个主要(CVSS 评分:9.3)输入验证漏洞,允许未经授权的用户在各种 Now Platform 版本上远程执行代码。
第二天,即 7 月 11 日,发现该问题的研究人员发布了一份关于另外两个 ServiceNow 漏洞(CVE-2024-5178 和 CVE-2024-5217)的综合报告,除了 CVE-2024-4879 之外,还可以链接这些漏洞以完全访问数据库。
根据 CVE-2024-4879 的文章和大规模网络扫描程序,威胁行为者几乎立即使用了迅速淹没 GitHub 的大量有效漏洞来识别易受攻击的实例。
该操作使用有效负载注入来检查服务器响应中的特定结果,然后使用第二阶段有效负载来检查数据库内容。
如果成功,攻击者会转储用户列表和帐户凭据。尽管其中大多数都经过了哈希处理,但仍有一些违规实例暴露了明文凭据。
由于大量客户和地下论坛上关于ServiceNow漏洞的普遍讨论,网络犯罪社区对利用这些漏洞产生了浓厚的兴趣。
ServiceNow 本月早些时候修复了这三个漏洞,并发布了 CVE-2024-4879、CVE-2024-5178 和 CVE-2024-5217 的不同公告。
建议用户验证他们是否已在所有实例上应用了补丁,如果尚未应用,则尽快通过查找公告中列出的补丁版本来验证。
发表评论
您还未登录,请先登录。
登录