Исследователи предупредили, что хакеры наращивают свои попытки использовать трио уязвимостей в возрасте от служебных служб, чтобы проникнуть в непреднамеренные случаи компании.
Стартап интеллекта угроз Greynoise заявил во вторник в блоге, что в нем наблюдалось «заметное возрождение активности», нацеленное на три уязвимости ServiceNow, отслеживаемое CVE-20124-4879, CVE-2024-5178 и CVE-2024-5217.
Уязвимости были впервые раскрыты исследователями в AssetNote в мае 2024 года и исправлены ServiceNow месяцами спустя, в июле 2024 года.
Greynoise сказал, что все три недостатки увидели возрождение в целевых попытках эксплуатации на прошлой неделе. Неизвестно, кто стоит за этой последней волной таргетинга, но Greynoise сказал, что 70% злонамеренной деятельности, которую она наблюдала на прошлой неделе, нацеленных на системы, базирующиеся в Израиле, при этом активность также наблюдалась в Германии, Японии и в Литве.
Как впервые отметил AssetNote в прошлом году, Greynoise также подтверждает, что уязвимости могут быть прикованы для «полного доступа к базе данных» затронутых экземпляров ServiceNow. Организации часто используют платформу ServiceNow для размещения конфиденциальных данных о своих сотрудниках, включая их личную информацию и записи HR, связанные с их занятостью.
Представитель ServiceNow Эрика Фалтос сказала TechCrunch, что компания впервые узнала об уязвимости «почти год назад», и «до настоящего времени мы не наблюдали какого -либо влияния клиента от кампании атаки».
После раскрытия AssetNote о недостатках в прошлом году реставрация в области безопасности сша предупредила, что актеры иностранных угроз пытались использовать три уязвимости ServiceNow для нацеливания как компаний частного сектора, так и государственных учреждений по всему миру.
Resecurity заявила, что увидела целевые попытки в энергетической компании, организации центра обработки данных, ближневосточного правительственного агентства и разработчика программного обеспечения.
Компания по кибербезопасности Imperva опубликовала еще один отчет в июле 2024 года, предупреждая, что она также наблюдала попытки эксплуатации на 6000 сайтов в различных отраслях, с акцентом на сектор финансовых услуг.
