ServiceNow的關(guān)鍵漏洞使企業(yè)面臨數(shù)據(jù)泄露風險

責任編輯:cres

作者:Gyana Swain

2024-07-31 11:17:59

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

ServiceNow IT服務管理平臺中發(fā)現(xiàn)了三個關(guān)鍵漏洞,暴露了包括政府機構(gòu)、數(shù)據(jù)中心、能源供應商和軟件開發(fā)公司在內(nèi)的105多個企業(yè)的敏感信息,這些漏洞(CVE-2024-4879、CVE-2024-5217和CVE-2024-5178)正在被積極利用,攻擊者能夠繞過身份驗證、訪問任意數(shù)據(jù)并提升權(quán)限,從而遠程執(zhí)行代碼和竊取數(shù)據(jù)。

ServiceNow的關(guān)鍵漏洞暴露了包括政府機構(gòu)、數(shù)據(jù)中心、能源供應商和軟件開發(fā)公司在內(nèi)的105多個企業(yè)的敏感信息。
 
在ServiceNow IT服務管理平臺中發(fā)現(xiàn)了三個關(guān)鍵漏洞,并報告稱這些漏洞正在被積極利用。
 
這些漏洞暴露了包括政府機構(gòu)、數(shù)據(jù)中心、能源供應商和軟件開發(fā)公司在內(nèi)的105多個企業(yè)的敏感信息。
 
根據(jù)網(wǎng)絡安全公司Resecurity的說法,威脅行為者正在積極利用這些漏洞(CVE-2024-4879、CVE-2024-5217和CVE-2024-5178)來竊取電子郵件地址、哈希密碼和其他敏感數(shù)據(jù),前兩個漏洞的CVSS評分分別為9.3和9.2。
 
另一家研究公司Assetnote將一個嚴重性較低的漏洞(CVE-2024-5178)添加到了列表中,但表示,當這些漏洞結(jié)合在一起時,黑客可以利用這些漏洞訪問ServiceNow數(shù)據(jù)庫。
 
“這些漏洞使未經(jīng)身份驗證的遠程攻擊者能夠在Now平臺內(nèi)執(zhí)行任意代碼,可能導致系統(tǒng)妥協(xié)、數(shù)據(jù)盜竊和業(yè)務運營中斷。”Resecurity在一篇博客文章中寫道。
 
火上澆油的是,DarkReading的一份報告聲稱這些漏洞已被利用,各企業(yè)的數(shù)據(jù)已被竊取,此外,據(jù)DarkReading引用BreachForums的消息稱,利用這些漏洞獲取的被盜數(shù)據(jù)在暗網(wǎng)上以僅僅5000美元的價格出售。
 
Resecurity表示,預計由于這些漏洞,ServiceNow將“越來越多地成為”惡意行為者的目標。
 
“在暗網(wǎng)的多個地下論壇上已經(jīng)發(fā)現(xiàn)了威脅行為者尋求被破壞訪問IT服務臺、企業(yè)門戶和其他通常為員工和承包商提供遠程訪問的企業(yè)系統(tǒng)的討論。”Resecurity在博客中寫道,“這些系統(tǒng)可能被用于預先定位和攻擊計劃,以及偵察。”
 
該公司進一步補充說,初始訪問代理(IAB)“將通過暗網(wǎng)貨幣化對被破壞的企業(yè)門戶和應用程序的訪問,利用信息竊取器(惡意軟件)和數(shù)字身份泄漏,由于網(wǎng)絡衛(wèi)生狀況差(在客戶方面)。”
 
Imperva(Thales公司)在其解釋漏洞的博客文章中寫道:“這一漏洞影響了多個行業(yè)的眾多ServiceNow站點,強調(diào)了立即采取行動保護這些環(huán)境的重要性。”
 
ServiceNow尚未回復我們的置評請求。
 
理解這些漏洞
 
ServiceNow中的這些漏洞允許任何人在無需登錄的情況下遠程在平臺上運行代碼。根據(jù)Resecurity的說法,CVE-2024-4879和CVE-2024-5217是ServiceNow“Vancouver”和“Washington DC”版本中的輸入驗證漏洞,允許未經(jīng)身份驗證的遠程攻擊者相對容易地執(zhí)行任意代碼。
 
CVE-2024-4879與身份驗證繞過相關(guān),該漏洞使攻擊者能夠繞過身份驗證,未經(jīng)許可訪問ServiceNow平臺,他們可以通過利用此漏洞遠程執(zhí)行代碼。
 
CVE-2024-5217涉及任意數(shù)據(jù)訪問,此漏洞使攻擊者能夠訪問和提取存儲在ServiceNow系統(tǒng)中的任何數(shù)據(jù),包括敏感信息、客戶數(shù)據(jù)和內(nèi)部通信,給業(yè)務運營和數(shù)據(jù)隱私帶來了嚴重威脅。
 
第三個漏洞,CVE-2024-5178,與權(quán)限提升相關(guān),允許攻擊者在ServiceNow系統(tǒng)中提升他們的訪問級別,通過提升權(quán)限,攻擊者可以獲得管理員控制權(quán),從而更容易地更改數(shù)據(jù)和系統(tǒng)設(shè)置。
 
美國網(wǎng)絡安全與基礎(chǔ)設(shè)施安全局(CISA)已將這些漏洞添加到其已知被利用的漏洞目錄中,敦促聯(lián)邦民用行政部門機構(gòu)在8月19日之前應用補丁,否則停止使用ServiceNow,直到修復完成。
 
一旦這些漏洞被標記,ServiceNow立即發(fā)布了針對這三個漏洞的緊急修補程序。
 
Resecurity強調(diào),一些受影響的企業(yè)使用的是過時或維護不良的實例,并且不知道已發(fā)布的補丁,這突顯了企業(yè)需要保持軟件最新狀態(tài)并及時應用安全補丁以降低風險的關(guān)鍵性。
 
“對于使用ServiceNow的企業(yè)來說,立即應用這些更新以保護其系統(tǒng)和數(shù)據(jù)免受潛在攻擊至關(guān)重要。”Resecurity在博客中建議道。
 
企業(yè)網(wǎng)D1net(r5u5c.cn):
 
國內(nèi)主流的to B IT門戶,旗下運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。旗下運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號