在ServiceNow IT服務(wù)管理平臺(tái)中發(fā)現(xiàn)了三個(gè)關(guān)鍵漏洞,并報(bào)告稱(chēng)這些漏洞正在被積極利用。
這些漏洞暴露了包括政府機(jī)構(gòu)、數(shù)據(jù)中心、能源供應(yīng)商和軟件開(kāi)發(fā)公司在內(nèi)的105多個(gè)企業(yè)的敏感信息。
根據(jù)網(wǎng)絡(luò)安全公司Resecurity的說(shuō)法,威脅行為者正在積極利用這些漏洞(CVE-2024-4879、CVE-2024-5217和CVE-2024-5178)來(lái)竊取電子郵件地址、哈希密碼和其他敏感數(shù)據(jù),前兩個(gè)漏洞的CVSS評(píng)分分別為9.3和9.2。
另一家研究公司Assetnote將一個(gè)嚴(yán)重性較低的漏洞(CVE-2024-5178)添加到了列表中,但表示,當(dāng)這些漏洞結(jié)合在一起時(shí),黑客可以利用這些漏洞訪問(wèn)ServiceNow數(shù)據(jù)庫(kù)。
“這些漏洞使未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者能夠在Now平臺(tái)內(nèi)執(zhí)行任意代碼,可能導(dǎo)致系統(tǒng)妥協(xié)、數(shù)據(jù)盜竊和業(yè)務(wù)運(yùn)營(yíng)中斷。”Resecurity在一篇博客文章中寫(xiě)道。
火上澆油的是,DarkReading的一份報(bào)告聲稱(chēng)這些漏洞已被利用,各企業(yè)的數(shù)據(jù)已被竊取,此外,據(jù)DarkReading引用BreachForums的消息稱(chēng),利用這些漏洞獲取的被盜數(shù)據(jù)在暗網(wǎng)上以僅僅5000美元的價(jià)格出售。
Resecurity表示,預(yù)計(jì)由于這些漏洞,ServiceNow將“越來(lái)越多地成為”惡意行為者的目標(biāo)。
“在暗網(wǎng)的多個(gè)地下論壇上已經(jīng)發(fā)現(xiàn)了威脅行為者尋求被破壞訪問(wèn)IT服務(wù)臺(tái)、企業(yè)門(mén)戶和其他通常為員工和承包商提供遠(yuǎn)程訪問(wèn)的企業(yè)系統(tǒng)的討論。”Resecurity在博客中寫(xiě)道,“這些系統(tǒng)可能被用于預(yù)先定位和攻擊計(jì)劃,以及偵察。”
該公司進(jìn)一步補(bǔ)充說(shuō),初始訪問(wèn)代理(IAB)“將通過(guò)暗網(wǎng)貨幣化對(duì)被破壞的企業(yè)門(mén)戶和應(yīng)用程序的訪問(wèn),利用信息竊取器(惡意軟件)和數(shù)字身份泄漏,由于網(wǎng)絡(luò)衛(wèi)生狀況差(在客戶方面)。”
Imperva(Thales公司)在其解釋漏洞的博客文章中寫(xiě)道:“這一漏洞影響了多個(gè)行業(yè)的眾多ServiceNow站點(diǎn),強(qiáng)調(diào)了立即采取行動(dòng)保護(hù)這些環(huán)境的重要性。”
ServiceNow尚未回復(fù)我們的置評(píng)請(qǐng)求。
理解這些漏洞
ServiceNow中的這些漏洞允許任何人在無(wú)需登錄的情況下遠(yuǎn)程在平臺(tái)上運(yùn)行代碼。根據(jù)Resecurity的說(shuō)法,CVE-2024-4879和CVE-2024-5217是ServiceNow“Vancouver”和“Washington DC”版本中的輸入驗(yàn)證漏洞,允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者相對(duì)容易地執(zhí)行任意代碼。
CVE-2024-4879與身份驗(yàn)證繞過(guò)相關(guān),該漏洞使攻擊者能夠繞過(guò)身份驗(yàn)證,未經(jīng)許可訪問(wèn)ServiceNow平臺(tái),他們可以通過(guò)利用此漏洞遠(yuǎn)程執(zhí)行代碼。
CVE-2024-5217涉及任意數(shù)據(jù)訪問(wèn),此漏洞使攻擊者能夠訪問(wèn)和提取存儲(chǔ)在ServiceNow系統(tǒng)中的任何數(shù)據(jù),包括敏感信息、客戶數(shù)據(jù)和內(nèi)部通信,給業(yè)務(wù)運(yùn)營(yíng)和數(shù)據(jù)隱私帶來(lái)了嚴(yán)重威脅。
第三個(gè)漏洞,CVE-2024-5178,與權(quán)限提升相關(guān),允許攻擊者在ServiceNow系統(tǒng)中提升他們的訪問(wèn)級(jí)別,通過(guò)提升權(quán)限,攻擊者可以獲得管理員控制權(quán),從而更容易地更改數(shù)據(jù)和系統(tǒng)設(shè)置。
美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)已將這些漏洞添加到其已知被利用的漏洞目錄中,敦促聯(lián)邦民用行政部門(mén)機(jī)構(gòu)在8月19日之前應(yīng)用補(bǔ)丁,否則停止使用ServiceNow,直到修復(fù)完成。
一旦這些漏洞被標(biāo)記,ServiceNow立即發(fā)布了針對(duì)這三個(gè)漏洞的緊急修補(bǔ)程序。
Resecurity強(qiáng)調(diào),一些受影響的企業(yè)使用的是過(guò)時(shí)或維護(hù)不良的實(shí)例,并且不知道已發(fā)布的補(bǔ)丁,這突顯了企業(yè)需要保持軟件最新?tīng)顟B(tài)并及時(shí)應(yīng)用安全補(bǔ)丁以降低風(fēng)險(xiǎn)的關(guān)鍵性。
“對(duì)于使用ServiceNow的企業(yè)來(lái)說(shuō),立即應(yīng)用這些更新以保護(hù)其系統(tǒng)和數(shù)據(jù)免受潛在攻擊至關(guān)重要。”Resecurity在博客中建議道。
企業(yè)網(wǎng)D1net(hfnxjk.com):
國(guó)內(nèi)主流的to B IT門(mén)戶,旗下運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專(zhuān)家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。旗下運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開(kāi)頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)