Хакеры используют уязвимости ServiceNow для кражи логинов пользователей
Исследователи кибербезопасности из компании Resecurity обнаружили уязвимость валидации ввода на платформе ServiceNow, которая позволяла злоумышленникам проводить атаки удаленного выполнения кода (RCE) на разных версиях этой платформы. Уязвимость получила обозначение CVE-2024-4879 и высокий уровень опасности.
Позже команда исследователей из Assetnote выявила еще две уязвимости, известные как CVE-2024-5178 и CVE-2024-5217. Они рассказали, как их можно использовать в атаках, и вскоре были зафиксированы реальные случаи эксплуатации этих уязвимостей. Resecurity сообщает, что через неделю наблюдений было обнаружено несколько пострадавших организаций, включая государственные учреждения, дата-центры и компании по разработке программного обеспечения.
Кража логинов пользователей
Атакующие внедряют вредоносный код, который проверяет определенный результат в ответе сервера. Если он совпадает с нужным, запускается второй этап атаки, который проверяет содержимое базы данных. Завершающая стадия включает в себя выгрузку списков пользователей и учетных данных. В большинстве случаев учетные данные хранятся в зашифрованном виде, однако иногда они могут попадать в виде обычного текста, что может привести к компрометации аккаунтов и серьезным последствиям, таким как атаки вымогателей.
ServiceNow – это облачное решение для управления цифровыми рабочими процессами. По данным BleepingComputer, на сегодня эта платформа имеет почти 300,000 интернет-экспонированных экземпляров и пользуется популярностью. Среди клиентов ServiceNow – такие компании как Coca-Cola, Dell, Deloitte и Государство Калифорния.
Исправления для этих уязвимостей были выпущены 10 июля 2024 года. Однако к настоящему времени многие организации еще не установили их. Пользователям рекомендуется немедленно применить исправления и убедиться, что они обновили все свои экземпляры платформы.
Источник: TechRadar
