Две недели атак: хакеры охотятся за уязвимыми системами ServiceNow

Две недели атак: хакеры охотятся за уязвимыми системами ServiceNow

Неисправленные ошибки стали инструментом в погоне за ценными данными.

image

В последние недели хакеры эксплуатируют 2 уязвимости популярных инструментов ServiceNow для кражи конфиденциальных данных.

В мае специалисты AssetNote уведомили ServiceNow о трёх серьёзных уязвимостях, которые в связке открывают доступ к важным данным организаций. В мае и июне ServiceNow устранила уязвимости CVE-2024-4879 (оценка CVSS: 9.3), CVE-2024-5178 (оценка CVSS: 6.9) и CVE-2024-5217 (оценка CVSS: 9.2).

Однако почти сразу после публичного отчета AssetNote, был опубликован PoC-эксплойт, который привлек внимание хакеров, и начались активные попытки использования ошибок. Агентство CISA заявило, что хакеры особенно нацелены на CVE-2024-4879 и CVE-2024-5217. CISA добавила уязвимости в свой каталог KEV и установила крайний срок до 19 августа для федеральных агентств на исправление недостатков.

В последние 2 недели исследователи кибербезопасности сообщали о попытках хакеров использовать данные уязвимости. По некоторым данным, от 13 000 до 42 000 систем ServiceNow могут быть скомпрометированы. Большинство пострадавших систем выявлены в США, Великобритании, Индии и Евросоюзе.

Уязвимости позволяют злоумышленникам получить полный доступ к базе данных, возможность перемещаться по системе и извлечь данные. Компания Resecurity сообщила, что пристально следит за действиями иностранных киберпреступников, пытающихся извлечь данные из частных компаний и правительственных учреждений по всему миру. Несмотря на то, что активность была своевременно ограничена, в период существования уязвимостей были зафиксированы несколько эпизодов вредоносной деятельности.

Атаки затронули многочисленные организации по всему миру, в том числе энергетическую компанию, правительственное агентство одной из стран Ближнего Востока и фирму по разработке ПО. Некоторые из компаний не знали о выпущенных исправлениях и использовали устаревшие или неподдерживаемые системы.

Кроме того, были попытки эксплуатации уязвимостей на более чем 6 000 сайтах различных отраслей, особенно в финансовом секторе, где хакеры в основном используют автоматизированные инструменты для компрометации страницы входа в систему.

В даркнете также злоумышленники ищут скомпрометированный доступ к IT-сервисам, корпоративным порталам и другим системам, предоставляющим удалённый доступ сотрудникам и подрядчикам. Resecurity также предупреждает об активности брокеров начального доступа (Initial Access Broker, IAB), которые взламывают системы и затем продают доступ другим киберпреступникам.

Теория струн? У нас целый оркестр научных фактов!

От классики до авангарда — наука во всех жанрах

Настройтесь на нашу волну — подпишитесь