Những Hacker đang gia tăng các nỗ lực của họ để khai thác một nhóm ba lỗ hổng của ServiceNow 1 năm tuổi để xâm nhập vào các phiên bản của doanh nghiệp chưa được vá, các nhà nghiên cứu bảo mật cảnh báo tuần này.
Công ty khởi nghiệp thông tin đe dọa GreyNoise cho biết trong một bài đăng trên blog vào thứ Ba rằng họ đã quan sát thấy một "sự phục hồi đáng chú ý của hoạt động trong tự nhiên" nhắm vào ba lỗ hổng của ServiceNow, theo dõi theo các mã CVE-2024-4879, CVE-2024-5178 và CVE-2024-5217.
Những lỗ hổng này đã được các nhà nghiên cứu của Assetnote tiết lộ vào ngày 14 tháng 5 năm 2024 và được vá bởi ServiceNow vào cùng ngày, người phát ngôn của ServiceNow Erica Faltous nói với TechCrunch. Thông tin chi tiết về lỗi đã được tiết lộ công khai vào tháng 7 năm 2024.
GreyNoise cho biết tất cả ba lỗ hổng đã thấy một sự phục hồi trong các nỗ lực khai thác mục tiêu trong tuần qua. Không biết chính xác ai đứng sau làn sóng nhắm mục tiêu mới này, nhưng GreyNoise nói rằng 70% hoạt động xấu mà họ quan sát trong tuần qua nhắm vào các hệ thống dựa trên Israel, với hoạt động cũng được nhìn thấy tại Đức, Nhật Bản và Lithuania.
Như lần đầu tiên được Assetnote ghi nhận năm ngoái, GreyNoise cũng xác nhận rằng các lỗ hổng có thể được kết hợp với nhau để "truy cập cơ sở dữ liệu đầy đủ" của các phiên bản của ServiceNow bị ảnh hưởng. Các tổ chức thường sử dụng nền tảng ServiceNow để lưu trữ dữ liệu nhạy cảm về nhân viên của họ, bao gồm thông tin cá nhân của họ và hồ sơ nhân sự liên quan đến việc làm của họ.
ServiceNow cho biết với TechCrunch rằng công ty đã biết về các lỗ hổng "gần đây một năm trước" và, "đến nay, chúng tôi chưa quan sát thấy bất kỳ ảnh hưởng của khách hàng từ một chiến dịch tấn công nào."
Sau khi Assetnote tiết lộ về các lỗ hổng vào năm ngoái, công ty bảo mật Mỹ Resecurity cảnh báo rằng các tác nhân đe dọa nước ngoài đã cố gắng khai thác ba lỗ hổng của ServiceNow để nhắm vào cả các công ty tư nhân và cơ quan chính phủ trên toàn thế giới.
Resecurity cho biết họ đã thấy những cố gắng nhắm mục tiêu tại một công ty năng lượng, một tổ chức trung tâm dữ liệu, một cơ quan chính phủ Trung Đông và một nhà phát triển phần mềm.
Công ty bảo mật Imperva phát hành một báo cáo khác vào tháng 7 năm 2024 cảnh báo rằng họ cũng đã quan sát các nỗ lực khai thác trên 6.000 trang web thuộc nhiều ngành công nghiệp khác nhau, tập trung vào ngành dịch vụ tài chính.
Đã sửa đổi đoạn văn thứ ba để ghi chú rằng ServiceNow phát hành một bản vá vào cùng ngày với việc tiết lộ của Assetnote.
