ServiceNow-alustalta on löytynyt kolme kriittistä haavoittuvuutta, ja niitä käytetään jo aktiivisesti hyväksi, kertoo Itpro.
Jos kaikkia kolmea haavoittuvuutta hyödynnetään samassa hyökkäyksessä, ne voivat antaa hyökkääjälle pääsyn organisaation ServiceNow-palvelimelle ja tietokantoihin, varoittaa haavoittuvuudet löytänyt tietoturvafirma AssetNote.
Hyökkäyspinta-alan hallintaan erikoistunut yritys paljasti haavoittuvuudet ensimmäisen kerran toukokuussa. Haavoittuvuudet vaikuttavat useisiin toiminnanohjausjärjestelmän versioihin mukaan lukien Utah, Vancouver ja Washington DC -julkaisut.
Ensimmäiset kaksi haavoittuvuutta, CVE-2024-4879 ja CVE-2024-5217, ovat syötetyn tekstin validointiin liittyviä aukkoja. Aukot voivat antaa hyökkääjälle tilaisuuden ajaa omaa koodia ServiceNow:n alustalla etänä törmäämättä autentikaatioon, mikä voi johtaa arkaluonteisten tietojen varastamiseen ja merkittäviin liiketoiminnan häiriöihin.
Kolmas löydetty haavoittuvuus, CVE-2024-5178, liittyy palvelimen tiedostojen lukuoikeuksiin. Haavoittuvuus voi mahdollistaa luvattoman pääsyn sovelluspalvelimen tietoihin, kuten sähköpostiosoitteisiin, tallennettuihin salasanoihin ja muihin arkaluonteisiin tietoihin. Haavoittuvuus vaatii kuitenkin admin-oikeuksia hyökkääjältä.
ServiceNow julkaisi korjauspäivitykset haavoittuvuuksiin jo 14. toukokuuta, kun AssetNote ilmoitti niistä. Heti kun AssetNote julkaisi raporttinsa, verkkoon ilmestyi koodiesimerkkejä (proof of concept) siitä, miten haavoittuvuuksia voisi käyttää hyväksi.
Tietoturvayhtiö Resecurity on puolestaan jo havainnut aktiivisia hyökkäysyrityksiä ServiceNown palveluita kohtaan. Yhtiö arvioi, että noin 300 000 ServiceNow-instanssia voi olla etähyökkäysten kohteena. Suurin osa näistä instansseista sijaitsee Yhdysvalloissa, Isossa-Britanniassa, Intiassa ja EU:ssa. Suuri osa hyökkäyksistä on liittynyt toiseen validointihaavoittuvuuteen.
Lisäksi tietoturvayhtiö Imperva varoitti heinäkuussa havainneensa hyväksikäyttöyrityksiä yli 6 000 sivustolla eri toimialoilla, mutta erityisesti rahoitussektorilla.
Dark Reading -julkaisun mukaan verkkorikollinen on jo ilmoittanut myyvänsä sähköpostiosoitteita ja sekoitettuja salasanoja yli 105 ServiceNow-tietokantaan vuotosivusto BreachForumsilla.