Kritikus ServiceNow RCE sérülékenységeket használnak ki jelszavak ellopására

Nyilvánosan elérhető ServiceNow sérülékenységeket kapcsolnak össze és használnak ki aktívan a hackerek, hogy belépési adatokat lopjanak. A rosszindulatú tevékenységet a Resecurity jelentette, ami az egy hétig tartó megfigyelés közben több áldozatot is azonosított, köztük adatközpontokat, energiaszolgáltatókat, szoftverfejlesztő cégeket és önkormányzatokat. Bár a gyártó 2024. július 10-én több sérülékenységet is patchelt, így is rendszerek tízezrei maradtak sebezhetők.

A ServiceNow egy felhőalapú platform, ami a digitális munkafolyamatok kezelésében segít a szervezeteknek. Széles körben elterjedt több iparágban is, beleértve az egészségügyet, közszférát, pénzügyi intézményeket és nagyvállalatokat.

Július 10-én a ServiceNow hotfixet adott ki a CVE-2024-4879-hez, egy kritikus input validation sérülékenységhez, ami 9,3-as CVSS értékelést érdemel, ugyanis a kihasználása RCE-hez vezethet több Now platformon is. Másnap az Assetnote kutatói, akik a sérülékenységet felfedezték részletes leírást adtak ki róla, és két további hibáról, a CVE-2024-5178-ról és a CVE-2024-5217-ről. A hibák együttes kihasználása teljes adatbázishoz való hozzáférést eredményezhet.

A GitHubot nemsokára elárasztották a leírás alapján működő exploitok. A Resecurity által észlelt folyamatos kihasználások egy payload injectiont használtak, hogy egy specifikus választ keressenek a szerver kommunikációjában. Ezt egy második payload követte, ami már az adatbázis tartalmát vizsgálta. Ha mindkettő sikeres volt, a támadó dumpolja a felhasználók és jelszavak listáját. A Resecurity állítása szerint a legtöbb esetben ezek hashelve voltak, azonban arra is volt példa, hogy a támadóknak plain-textbe sikerült megszerezniük a kérdéses autentikációs adatokat.

A ServiceNow a hónap elején mind a három sérülékenységet javította, így érdemes minden felhasználónak ellenőrizni a saját verzióját, és szükség esetén telepíteni a frissítéseket!

(bleepingcomputer.com)