在ServiceNow IT服务管理平台中发现了三个关键漏洞,并报告称这些漏洞正在被积极利用。
这些漏洞暴露了包括政府机构、数据中心、能源供应商和软件开发公司在内的105多个企业的敏感信息。
根据网络安全公司Resecurity的说法,威胁行为者正在积极利用这些漏洞(CVE-2024-4879、CVE-2024-5217和CVE-2024-5178)来窃取电子邮件地址、哈希密码和其他敏感数据,前两个漏洞的CVSS评分分别为9.3和9.2。
另一家研究公司Assetnote将一个严重性较低的漏洞(CVE-2024-5178)添加到了列表中,但表示,当这些漏洞结合在一起时,黑客可以利用这些漏洞访问ServiceNow数据库。
“这些漏洞使未经身份验证的远程攻击者能够在Now平台内执行任意代码,可能导致系统妥协、数据盗窃和业务运营中断。”Resecurity在一篇博客文章中写道。
火上浇油的是,DarkReading的一份报告声称这些漏洞已被利用,各企业的数据已被窃取,此外,据DarkReading引用BreachForums的消息称,利用这些漏洞获取的被盗数据在暗网上以仅仅5000美元的价格出售。
Resecurity表示,预计由于这些漏洞,ServiceNow将“越来越多地成为”恶意行为者的目标。
“在暗网的多个地下论坛上已经发现了威胁行为者寻求被破坏访问IT服务台、企业门户和其他通常为员工和承包商提供远程访问的企业系统的讨论。”Resecurity在博客中写道,“这些系统可能被用于预先定位和攻击计划,以及侦察。”
该公司进一步补充说,初始访问代理(IAB)“将通过暗网货币化对被破坏的企业门户和应用程序的访问,利用信息窃取器(恶意软件)和数字身份泄漏,由于网络卫生状况差(在客户方面)。”
Imperva(Thales公司)在其解释漏洞的博客文章中写道:“这一漏洞影响了多个行业的众多ServiceNow站点,强调了立即采取行动保护这些环境的重要性。”
ServiceNow尚未回复我们的置评请求。
理解这些漏洞
ServiceNow中的这些漏洞允许任何人在无需登录的情况下远程在平台上运行代码。根据Resecurity的说法,CVE-2024-4879和CVE-2024-5217是ServiceNow“Vancouver”和“Washington DC”版本中的输入验证漏洞,允许未经身份验证的远程攻击者相对容易地执行任意代码。
CVE-2024-4879与身份验证绕过相关,该漏洞使攻击者能够绕过身份验证,未经许可访问ServiceNow平台,他们可以通过利用此漏洞远程执行代码。
CVE-2024-5217涉及任意数据访问,此漏洞使攻击者能够访问和提取存储在ServiceNow系统中的任何数据,包括敏感信息、客户数据和内部通信,给业务运营和数据隐私带来了严重威胁。
第三个漏洞,CVE-2024-5178,与权限提升相关,允许攻击者在ServiceNow系统中提升他们的访问级别,通过提升权限,攻击者可以获得管理员控制权,从而更容易地更改数据和系统设置。
美国网络安全与基础设施安全局(CISA)已将这些漏洞添加到其已知被利用的漏洞目录中,敦促联邦民用行政部门机构在8月19日之前应用补丁,否则停止使用ServiceNow,直到修复完成。
一旦这些漏洞被标记,ServiceNow立即发布了针对这三个漏洞的紧急修补程序。
Resecurity强调,一些受影响的企业使用的是过时或维护不良的实例,并且不知道已发布的补丁,这突显了企业需要保持软件最新状态并及时应用安全补丁以降低风险的关键性。
“对于使用ServiceNow的企业来说,立即应用这些更新以保护其系统和数据免受潜在攻击至关重要。”Resecurity在博客中建议道。
企业网D1net(www.d1net.com):
国内主流的to B IT门户,旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。
版权声明:本文为企业网D1Net编译,转载需在文章开头注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号