Наблюдавани са  заплахи, които използват две уязвимости с критична сериозност в платформата ServiceNow по-малко от две седмици след публичното им оповестяване, съобщава Resecurity.

На 10 юли ServiceNow обяви кръпки за дефектите в сигурността, проследени като CVE-2024-4879 (CVSS оценка 9,3) и CVE-2024-5217 (CVSS оценка 9,2). Трети бъг, CVE-2024-5178 (CVSS оценка 6,9), също беше отстранен в платформата.

Критичните проблеми са описани като недостатъци във валидирането на входни данни, които могат да бъдат използвани от неавтентифицирани атакуващи за отдалечено изпълнение на код в контекста на платформата ServiceNow, широко използвано решение за трансформация на бизнеса.

Третият бъг, описан като дефект в сигурността при четене на файлове, би могъл да позволи на администраторите да получат достъп до чувствителни файлове на сървъра за уеб приложения без оторизация.

ServiceNow пусна пачове и горещи поправки за итерациите на платформата Now в Юта, Ванкувър и Вашингтон, като призова клиентите да ги приложат възможно най-скоро.

На 11 юли Assetnote, която съобщи за уязвимостите на ServiceNow през май, публикува технически подробности за трите уязвимости, като обясни как те могат да бъдат верижно свързани, за да се получи пълен достъп до базите данни и до MID сървърите – прокси сървъри между хостваните в облака екземпляри на ServiceNow и корпоративните мрежи – конфигурирани с платформата.

По-малко от две седмици след като информацията стана публична, Resecurity наблюдава, че заплахи се насочват към уязвими инстанции на ServiceNow за разузнаване.

„Чуждестранни  заплахи се опитаха да се възползват от ситуацията, за да извлекат данни както от компании от частния сектор, така и от правителствени агенции в световен мащаб“, разкрива Resecurity.

Фирмата за киберсигурност посочва, че има приблизително 300 000 достъпни в интернет инстанции на ServiceNow, податливи на сондиране от страна на  заплахите, което „потвърждава широкомащабното и значително проникване на това решение в корпоративни среди в световен мащаб“.

Най-голям брой внедрявания на ServiceNow има в САЩ, Обединеното кралство, Индия и страните от Европейския съюз. Не е ясно обаче колко от тези екземпляри са уязвими.

Според Resecurity са наблюдавани множество заплахи, които масово сканират за уязвими инстанции на ServiceNow, сондират уязвимите хостове и се опитват да изхвърлят списъци с потребители и да събират метаданни от компрометираните инстанции.

Атаките са били насочени към организации от различни отрасли, включително енергийна компания, организация, занимаваща се с центрове за данни, разработчик на софтуер и правителствена агенция в Близкия изток.

„Забележително е, че някои от тях не са знаели за пуснатата кръпка, а в някои случаи са използвали остарели или лошо поддържани инстанции от техните разработчици и софтуерни инженери“, отбелязва Resecurity.

Компанията посочва, че инстанциите на ServiceNow вероятно ще бъдат все по-често обект на атаки и че се очаква брокерите на първоначален достъп да печелят от достъпа до компрометирани корпоративни портали и приложения.

„В множество подземни форуми в тъмната мрежа са идентифицирани разговори, в които се изтъкват  заплахи, търсещи компрометиран достъп до бюра за ИТ услуги, корпоративни портали и други корпоративни системи, които обикновено осигуряват отдалечен достъп на служители и изпълнители“, пише Resecurity.