Hackers foram vistos vinculando diversas vulnerabilidades do ServiceNow para atingir empresas e organizações e roubar credenciais de login de usuários .
Pesquisadores de segurança cibernética da Resecurity identificaram uma vulnerabilidade de validação de entrada, que permitiu que agentes de ameaças executassem ataques de execução remota de código (RCE) em várias versões da Now Platform. A vulnerabilidade agora é rastreada como CVE-2024-4879 e carrega uma pontuação de gravidade de 9,3.
Logo depois, uma equipe de pesquisadores da Assetnote encontrou mais duas falhas, rastreadas como CVE-2024-5178 e CVE-2024-5217, e explicou como elas podem ser aproveitadas em ataques, relatou o BleepingComputer . Logo, os ataques começaram a acontecer. A Resecurity diz que após uma semana monitorando a falha, ela identificou várias vítimas, incluindo agências governamentais, data centers, empresas de desenvolvimento de software e muito mais.
Roubar credenciais de login
Os invasores injetariam um payload que verifica um resultado específico na resposta do servidor. Se obtiver o apropriado, ele implanta um payload de segundo estágio que verifica o conteúdo do banco de dados. A última etapa é despejar listas de usuários e credenciais de conta. Embora na maioria das vezes as credenciais sejam hash, há alguns exemplos em que as credenciais foram despejadas em texto simples. Isso pode levar ao comprometimento da conta, o que, por sua vez, pode trazer consequências devastadoras, como ataques de ransomware.
ServiceNow é uma solução empresarial baseada em nuvem para gerenciamento de fluxo de trabalho digital. Ela tem quase 300.000 instâncias expostas à internet, o que a torna uma solução bastante popular, afirma a BleepingComputer. Alguns de seus clientes incluem Coca-Cola (usa-a para otimizar o gerenciamento de serviços de TI), Dell (automação e gerenciamento de serviços de TI), Deloitte (automação e otimização de serviços de TI) e o Estado da Califórnia (gerenciando serviços e operações de TI em todo o estado).
A correção para as vulnerabilidades foi lançada em 10 de julho de 2024, no entanto, no momento da publicação, parece que muitas organizações ainda não a aplicaram. Os usuários são aconselhados a instalar a correção imediatamente e certificar-se de fazê-lo em todas as instâncias.
