В последние недели хакеры эксплуатируют 2 уязвимости популярных инструментов ServiceNow для кражи конфиденциальных данных.
В мае специалисты AssetNote уведомили ServiceNow о трёх серьёзных уязвимостях, которые в связке открывают доступ к важным данным организаций. В мае и июне ServiceNow устранилауязвимости CVE-2024-4879(оценка CVSS: 9.3), CVE-2024-5178 (оценка CVSS: 6.9) и CVE-2024-5217 (оценка CVSS: 9.2).
Однако почти сразу после публичного отчета AssetNote, был опубликованPoC-эксплойт, который привлек внимание хакеров, и начались активные попытки использования ошибок. Агентство CISA заявило, что хакеры особенно нацелены на CVE-2024-4879 и CVE-2024-5217. CISA добавилауязвимости в свой каталог KEV и установила крайний срок до 19 августа для федеральных агентств на исправление недостатков.
В последние 2 недели исследователи кибербезопасности сообщали о попытках хакеров использовать данные уязвимости. По некоторым данным, от 13 000 до 42 000 систем ServiceNow могут быть скомпрометированы. Большинство пострадавших систем выявлены в США, Великобритании, Индии и Евросоюзе.
Уязвимости позволяют злоумышленникам получить полный доступ к базе данных, возможность перемещаться по системе и извлечь данные. Компания Resecurity сообщила,что пристально следит за действиями иностранных киберпреступников, пытающихся извлечь данные из частных компаний и правительственных учреждений по всему миру. Несмотря на то, что активность была своевременно ограничена, в период существования уязвимостей были зафиксированы несколько эпизодов вредоносной деятельности.
Атаки затронули многочисленные организации по всему миру, в том числе энергетическую компанию, правительственное агентство одной из стран Ближнего Востока и фирму по разработке ПО. Некоторые из компаний не знали о выпущенных исправлениях и использовали устаревшие или неподдерживаемые системы.
Кроме того, были попытки эксплуатации уязвимостей на более чем 6 000 сайтах различных отраслей, особенно в финансовом секторе, где хакеры в основном используют автоматизированные инструменты для компрометации страницы входа в систему.
В даркнете также злоумышленники ищут скомпрометированный доступ к IT-сервисам, корпоративным порталам и другим системам, предоставляющим удалённый доступ сотрудникам и подрядчикам. Resecurity также предупреждает об активности брокеров начального доступа (Initial Access Broker, IAB), которые взламывают системы и затем продают доступ другим киберпреступникам.