يقوم الجهات الفاعلة في مجال التهديد بربط عيوب ServiceNow معًا باستخدام الثغرات المتاحة للجمهور لاختراق الوكالات الحكومية والشركات الخاصة في هجمات سرقة البيانات.
كان هذا النشاط الخبيثتم الإبلاغ عنه بواسطة Resecurity، والتي بعد مراقبتها لمدة أسبوع، تم تحديد العديد من الضحايا، بما في ذلك وكالات حكومية، ومراكز بيانات، ومقدمي الطاقة، وشركات تطوير البرمجيات.
على الرغم من أن البائع أصدر تحديثات أمنية لهذه العيوب في 10 يوليو 2024، إلا أن عشرات الآلاف من الأنظمة تظل عرضة للهجمات.
تفاصيل الاستغلال
ServiceNow عبارة عن منصة تعتمد على السحابة تساعد المؤسسات على إدارة سير العمل الرقمي لعمليات المؤسسة.
يتم اعتماده على نطاق واسع في مختلف الصناعات، بما في ذلك منظمات القطاع العام، والرعاية الصحية، والمؤسسات المالية، والشركات الكبرى. تُرجع عمليات مسح الإنترنت FOFA ما يقرب من 300000 حالة معرضة للخطر على الإنترنت، مما يعكس شعبية المنتج.
في 10 يوليو 2024، قامت ServiceNow بتوفير إصلاحات عاجلة لـ CVE-2024-4879، وهي ثغرة أمنية بالغة الأهمية (درجة CVSS: 9.3) خلل في التحقق من صحة الإدخال يسمح للمستخدمين غير المعتمدين بتنفيذ التعليمات البرمجية عن بعد على إصدارات متعددة من منصة Now.
في اليوم التالي، في الحادي عشر من يوليو، اكتشف باحثو Assetnote الخلل نشر تقريرا مفصلا حول CVE-2024-4879 واثنين من العيوب الأخرى (CVE-2024-5178 وCVE-2024-5217) في ServiceNow والتي يمكن ربطها للوصول الكامل إلى قاعدة البيانات.
وبعد فترة وجيزة، غمرت GitHub بـ استغلالات العمل استنادًا إلى الكتابة والجزء الأكبر ماسحات الشبكة بالنسبة لـ CVE-2024-4879، والتي استغلها الجناة على الفور تقريبًا للعثور على الحالات الضعيفة، وفقًا لتقارير Resecurity.
يستخدم الاستغلال المستمر الذي تشهده Resecurity حقن الحمولة للتحقق من نتيجة محددة في استجابة الخادم، متبوعًا بحمولة المرحلة الثانية التي تتحقق من محتويات قاعدة البيانات.
إذا نجح المهاجم، فإنه يقوم بتفريغ قوائم المستخدمين وبيانات اعتماد الحساب. وتقول شركة Resecurity إنه في أغلب الحالات، كانت هذه البيانات مشفرة، ولكن بعض الحالات التي تم اختراقها كشفت عن بيانات اعتماد نصية عادية.
المصدر: ريسكيوريتي
شهدت شركة Resecurity الكثير من الحديث حول عيوب ServiceNow في المنتديات السرية، وخاصة من قبل المستخدمين الذين يسعون إلى الوصول إلى مكاتب خدمات تكنولوجيا المعلومات والبوابات المؤسسية، مما يشير إلى اهتمام كبير من مجتمع الجرائم الإلكترونية.
قامت ServiceNow بتوفير إصلاحات لجميع الثغرات الأمنية الثلاثة في وقت سابق من هذا الشهر في نشرات منفصلة لـ سي في إي-2024-4879, سي في إي-2024-5178، و سي في إي-2024-5217.
يوصى المستخدمين بالتحقق من الإصدار الثابت المشار إليه في الإخطارات والتأكد من أنهم قاموا بتطبيق التصحيح على جميع الحالات أو القيام بذلك في أقرب وقت ممكن إذا لم يفعلوا ذلك.
التحديث 27/7 – أخبرت ServiceNow موقع BleepingComputer أن مثيلاتها المستضافة تلقت إصلاحات للعيوب الثلاثة في وقت سابق، في 14 مايو 2024.
وتقول الشركة إن تحقيقاتها لا تظهر أي علامات على أن النشاط الضار الموصوف في تقرير Resecurity يؤثر على مضيفين ServiceNow.