威胁行为者积极利用 ServiceNow RCE 漏洞来窃取凭证

阅读量62174

发布时间 : 2024-07-29 15:00:01

x
译文声明

本文是翻译文章,文章来源:heimdalsecurity

原文地址:https://heimdalsecurity.com/blog/servicenow-rce-flaws/

译文仅供参考,具体内容表达以及含义原文为准。

威胁行为者正在利用公开的漏洞将 ServiceNow 漏洞链接在一起,以便在数据盗窃活动中渗透到政府组织和商业公司。

安全研究人员监控了恶意活动并确定了多个受害者,包括政府机构、数据中心、能源供应商,甚至软件开发公司。

尽管该公司于 2024 年 7 月 10 日通过安全升级修复了这些漏洞,但数以万计的系统仍可能受到入侵。

ServiceNow 是一个被广泛采用的基于云的平台,可帮助组织管理企业运营的数字工作流程。它被各行各业的公司使用,包括公共部门组织、医疗保健、金融机构和大型企业。

有关利用的详细信息

ServiceNow 于 2024 年 7 月 10 日提供了针对 CVE-2024-4879 的修补程序,CVE-2024-4879 是一个主要(CVSS 评分:9.3)输入验证漏洞,允许未经授权的用户在各种 Now Platform 版本上远程执行代码。

第二天,即 7 月 11 日,发现该问题的研究人员发布了一份关于另外两个 ServiceNow 漏洞(CVE-2024-5178 和 CVE-2024-5217)的综合报告,除了 CVE-2024-4879 之外,还可以链接这些漏洞以完全访问数据库。

根据 CVE-2024-4879 的文章和大规模网络扫描程序,威胁行为者几乎立即使用了迅速淹没 GitHub 的大量有效漏洞来识别易受攻击的实例。

该操作使用有效负载注入来检查服务器响应中的特定结果,然后使用第二阶段有效负载来检查数据库内容。

如果成功,攻击者会转储用户列表和帐户凭据。尽管其中大多数都经过了哈希处理,但仍有一些违规实例暴露了明文凭据。

由于大量客户和地下论坛上关于ServiceNow漏洞的普遍讨论,网络犯罪社区对利用这些漏洞产生了浓厚的兴趣。

ServiceNow 本月早些时候修复了这三个漏洞,并发布了 CVE-2024-4879、CVE-2024-5178 和 CVE-2024-5217 的不同公告。

建议用户验证他们是否已在所有实例上应用了补丁,如果尚未应用,则尽快通过查找公告中列出的补丁版本来验证。

本文翻译自heimdalsecurity 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66