Hackers συνδυάζουν ευπάθειες ServiceNow, χρησιμοποιώντας δημόσια διαθέσιμα exploits, και παραβιάζουν κυβερνητικές υπηρεσίες και ιδιωτικές εταιρείες για να κλέψουν δεδομένα.
Αυτή η κακόβουλη δραστηριότητα αναφέρθηκε από τη Resecurity, η οποία εντόπισε πολλά θύματα, συμπεριλαμβανομένων κυβερνητικών υπηρεσιών, κέντρων δεδομένων, παρόχων ενέργειας και εταιρειών ανάπτυξης λογισμικού.
Η ServiceNow κυκλοφόρησε ενημερώσεις ασφαλείας για τις ευπάθειες στις 10 Ιουλίου, αλλά δεκάδες χιλιάδες συστήματα παραμένουν ευάλωτα σε επιθέσεις.
Συνδυασμός ευπαθειών για πραγματοποίηση επιθέσεων
Η ServiceNow είναι μια πλατφόρμα cloud που βοηθά οργανισμούς να διαχειρίζονται τα digital workflows τους για επιχειρηματικές λειτουργίες. Είναι πολύ δημοφιλής και χρησιμοποιείται από οργανισμούς σε διάφορους κλάδους, συμπεριλαμβανομένων των οργανισμών του δημόσιου τομέα, της υγειονομικής περίθαλψης, των χρηματοπιστωτικών ιδρυμάτων και των μεγάλων επιχειρήσεων.
Δείτε επίσης: ConfusedFunction: Ανακαλύφθηκε ευπάθεια στο Google Cloud
Στις 10 Ιουλίου 2024, η ServiceNow εξέδωσε ενημερώσεις για την ευπάθεια CVE-2024-4879 (βαθμολογία CVSS: 9.3), που επιτρέπει σε χρήστες, χωρίς εξουσιοδότηση, να εκτελούν απομακρυσμένη εκτέλεση κώδικα σε πολλές εκδόσεις του Now Platform.
Στις 11 Ιουλίου, οι ερευνητές της Assetnote που ανακάλυψαν την ευπάθεια, δημοσίευσαν μια λεπτομερή αναφορά σχετικά με τη CVE-2024-4879 και δύο ακόμη σφάλματα (CVE-2024-5178 και CVE-2024-5217) σε λογισμικό ServiceNow, τα οποία μπορούσαν να συνδυαστούν για την απόκτηση πλήρους πρόσβασης στη βάση δεδομένων.
Σύντομα, το GitHub πλημμύρισε με λειτουργικά exploits, που οι hackers χρησιμοποίησαν σχεδόν αμέσως για να βρουν ευάλωτα συστήματα.
Η συνεχιζόμενη εκμετάλλευση που παρατηρείται από τη Resecurity, χρησιμοποιεί payload injection για να ελέγξει ένα συγκεκριμένο αποτέλεσμα στην απόκριση του διακομιστή, ακολουθούμενο από ένα payload δεύτερου σταδίου που ελέγχει τα περιεχόμενα της βάσης δεδομένων.
Εάν η εκμετάλλευση είναι επιτυχής, ο εισβολέας κλέβει λίστες χρηστών και credentials λογαριασμού. Η Resecurity λέει ότι στις περισσότερες περιπτώσεις αυτά ήταν hashed, αλλά ορισμένες από τις παραβιάσεις αποκάλυψαν credentials σε απλό κείμενο.
Δείτε επίσης: Google: Η έκδοση Chrome 127 διορθώνει 24 ευπάθειες
Η Resecurity έχει δει αυξημένες συζητήσεις για τις ευπάθειες της ServiceNow σε hacking forum, ειδικά από hackers που αναζητούν πρόσβαση σε εταιρικά portals και IT service desks.
Η ServiceNow έχει διορθώσει και τις τρεις ευπάθειες ξεχωριστά: CVE-2024-4879, CVE-2024-5178 και CVE-2024-5217.
Συνιστάται στους χρήστες να εφαρμόσουν την ενημερωμένη έκδοση κώδικα το συντομότερο δυνατό, δεδομένου ότι γίνεται ενεργή εκμετάλλευση.
Καλύτερες πρακτικές για εφαρμογή ενημερώσεων
Οι ενημερώσεις ασφαλείας είναι απαραίτητες για την προστασία των συστημάτων και των δεδομένων μας. Όμως, υπάρχουν και κάποιες βέλτιστες πρακτικές για την εφαρμογή ενημερώσεων, με σκοπό τη βελτίωση της κυβερνοασφάλειας:
Πρώτον, είναι σημαντικό να έχετε μια καλά οργανωμένη διαδικασία διαχείρισης ενημερώσεων. Αυτό περιλαμβάνει την παρακολούθηση των διαθέσιμων ενημερώσεων, την αξιολόγηση της σημασίας τους και την προτεραιότητα της εγκατάστασής τους.
Δείτε επίσης: Η Docker διορθώνει κρίσιμη ευπάθεια στο Docker Engine
Δεύτερον, είναι σημαντικό να εφαρμόζετε τις ενημερώσεις λoγισμικού το συντομότερο δυνατόν μετά την κυκλοφορία τους. Οι ενημερώσεις περιέχουν διορθώσεις για γνωστά προβλήματα ασφαλείας, οπότε η καθυστέρηση στην εγκατάστασή τους μπορεί να εκθέσει το σύστημά σας σε κινδύνους.
Τρίτον, πρέπει να διασφαλίζετε ότι οι ενημερώσεις εγκαθίστανται σωστά και πλήρως. Αυτό περιλαμβάνει την εκτέλεση πλήρους ελέγχου συμβατότητας με το υπάρχον σύστημα, τη δημιουργία αντιγράφων ασφαλείας πριν από την εγκατάσταση και την παρακολούθηση της διαδικασίας για τυχόν σφάλματα ή προβλήματα.
Τέλος, είναι σημαντικό να διατηρείτε το λογισμικό σας ενημερωμένο συνεχώς. Οι επιθέσεις και οι απειλές στην κυβερνοασφάλεια εξελίσσονται συνεχώς, οπότε η ενημέρωση του λογισμικού σας είναι ζωτικής σημασίας για τη διατήρηση της ασφάλειας του συστήματός σας.
Πηγή: www.bleepingcomputer.com
