Хакеры усиливают попытки эксплуатации трехлетних уязвимостей в ServiceNow для взлома не запатченных компаний, предупредили исследователи по безопасности на этой неделе.
Стартап-компания по угрозам GreyNoise сообщила во вторник в своем блоге, что она наблюдала «заметное возрастание действий находящихся в дикой природе» нацеливающихся на три уязвимости в ServiceNow, отслеживаемые как CVE-2024-4879, CVE-2024-5178 и CVE-2024-5217.
Уязвимости были впервые обнародованы исследователями Assetnote 14 мая 2024 года и запатчены ServiceNow в тот же день, сообщила представитель компании ServiceNow Эрика Фалтус TechCrunch. Подробности о багах были обнародованы позже в июле 2024 года.
GreyNoise заявила, что все три уязвимости снова стали объектом попыток нацеленного использования на прошлой неделе. Точно неизвестно, кто стоит за этой последней волной нацеливания, но GreyNoise сообщила, что 70% злонамеренной деятельности, которую они наблюдали в прошлой неделе, были направлены на системы, находящиеся в Израиле, а также были замечены активности в Германии, Японии и Литве.
Как было отмечено Assetnote в прошлом году, GreyNoise также подтверждает, что уязвимости могут быть связаны в цепочку для «полного доступа к базе данных» затронутых экземпляров ServiceNow. Организации часто используют платформу ServiceNow для хранения чувствительных данных о своих сотрудниках, включая их личную информацию и записи HR, относящиеся к их занятости.
ServiceNow сообщила TechCrunch, что компания первоначально узнала об уязвимостях «почти год назад», и, «на текущий момент мы не наблюдали никаких последствий для клиентов от кампаний атак».
После обнародования уязвимостей прошлым годом является предупреждение американской компании по безопасности Resecurity о том, что иностранные угрозы предпринимали попытки эксплуатировать три уязвимости в ServiceNow для нацеливания как на частные компании, так и на правительственные агентства во всем мире.
Resecurity сообщила, что были замечены целенаправленные попытки атаки на энергетическую компанию, организацию по обработке данных, правительственное учреждение на Ближнем Востоке и разработчика программного обеспечения.
Компания по кибербезопасности Imperva опубликовала другой отчет в июле 2024 года, предупреждая, что она также наблюдала попытки эксплуатации на 6000 сайтов в различных отраслях, с акцентом на финансовый сектор.
Изменен третий абзац с заметкой о том, что ServiceNow выпустила исправление в тот же день, что и обнародование Assetnote.
