Hacker

脅威者は、一般に公開されているエクスプロイトを使用してServiceNowの欠陥を連鎖させ、政府機関や民間企業に侵入してデータを盗む攻撃を行っている。

この悪質な活動はResecurityによって報告され、1週間監視した結果、政府機関、データセンター、エネルギープロバイダー、ソフトウェア開発企業など複数の被害者が確認されました。

ベンダーは2024年7月10日にこの欠陥に対するセキュリティ・アップデートをリリースしたが、潜在的には数万ものシステムが攻撃に対して脆弱なままである。

悪用の詳細

ServiceNowはクラウドベースのプラットフォームで、企業運営のためのデジタル・ワークフローの管理を支援します。

公共機関、医療、金融機関、大企業など、さまざまな業界で広く採用されています。FOFAのインターネット・スキャンでは、インターネットに露出したインスタンスが約30万件検出されており、同製品の人気を反映しています。

2024年7月10日、ServiceNowは、Nowプラットフォームの複数のバージョンにおいて、認証されていないユーザがリモートでコードを実行することを可能にする重大な(CVSSスコア:9.3)入力検証の欠陥であるCVE-2024-4879に対するホットフィックスを利用可能にしました。

翌7月11日、この不具合を発見したAssetnoteの研究者は、CVE-2024-4879と、データベースへの完全なアクセスのために連鎖させることができるServiceNowのさらに2つの不具合(CVE-2024-5178およびCVE-2024-5217)に関する詳細な報告書を発表しました。

間もなく、GitHubにはこの報告書に基づいたエクスプロイトや、CVE-2024-4879用のバルク・ネットワーク・スキャナーが溢れ、脅威関係者はほぼ即座に脆弱なインスタンスを見つけるためにこれを活用した、とResecurityは報告している。

Resecurity社によると、現在進行中のエクスプロイトでは、ペイロード・インジェクションを利用してサーバー・レスポンスの特定の結果をチェックし、その後、第2段階のペイロードでデータベースの内容をチェックする。

成功すると、攻撃者はユーザーリストとアカウント認証情報をダンプする。Resecurity社によると、ほとんどの場合、これらはハッシュ化されているが、侵入されたインスタンスの中にはプレーンテキストの認証情報が公開されているものもあるという。

Dumped credentials
ServiceNow データベースからダンプされた認証情報
ソースはこちら:Resecurity

Resecurity社によると、ServiceNowの欠陥については、アンダーグラウンドのフォーラム、特にITサービスデスクや企業ポータルへのアクセスを求めるユーザーによるチャットが増加しており、サイバー犯罪コミュニティからの関心が高いことを示しています。

ServiceNowは今月初め、CVE-2024-4879CVE-2024-5178CVE-2024-5217の3つの脆弱性すべてについて、個別に修正プログラムを公開している。

ユーザは、勧告に示された修正バージョンを確認し、すべてのインスタンスでパッチを適用していることを確認するか、まだ適用していない場合はできるだけ早く適用することが推奨される。

更新 7/27 – ServiceNowによると、同社のホストされたインスタンスは、2024年5月14日にこの3つの欠陥に対する修正を受けたとのことです。

同社は、Resecurityの報告書に記載されている悪意のある活動がServiceNowのホストに影響を与える兆候は、調査によって確認されていないとしている。