Hacker tăng cường khai thác lỗ hổng nghiêm trọng trên ServiceNow

Hacker khai thác các lỗ hổng trên ServiceNow đã được công khai để xâm nhập cơ quan chính phủ và công ty tư nhân nhằm đánh cắp dữ liệu.

Công ty Resecurity cho biết đã phát hiện nhiều nạn nhân, bao gồm các cơ quan chính phủ, trung tâm dữ liệu, nhà cung cấp năng lượng và các công ty phát triển phần mềm.

Mặc dù nhà cung cấp đã phát hành bản cập nhật an ninh cho các lỗ hổng vào 10/7/2024, nhưng hàng chục nghìn hệ thống vẫn bị ảnh hưởng.

ServiceNow là một nền tảng dựa trên đám mây giúp các tổ chức quản lý quy trình làm việc kỹ thuật số cho các hoạt động của doanh nghiệp. Nền tảng này được áp dụng rộng rãi trong nhiều ngành khác nhau, bao gồm các tổ chức khu vực công, chăm sóc sức khỏe, tổ chức tài chính và các doanh nghiệp lớn.

Lỗ hổng được ServiceNow vá hôm 10/7 có mã theo dõi CVE-2024-4879 (điểm CVSS: 9,3). Lỗ hổng cho phép người dùng chưa xác thực thực thi mã từ xa trên nhiều phiên bản phần mềm.

Ngày 11/7, các nhà nghiên cứu của Assetnote đã công bố một bài viết chi tiết về CVE-2024-4879 và hai lỗ hổng khác (CVE-2024-5178, CVE-2024-5217) trên ServiceNow. Các lỗ hổng này có thể khai thác kết hợp để truy cập toàn bộ cơ sở dữ liệu.

Ngay sau đó, trên GitHub đã tràn ngập các bộ khai thác dựa trên write-up và trình quét mạng hàng loạt cho CVE-2024-4879. Hacker cũng ngay lập tức tăng cường dò tìm các trường hợp tồn tại lỗ hổng, theo báo cáo của Resecurity.

ServiceNow đã cung cấp bản vá cho cả ba lỗ hổng vào đầu tháng này. Người dùng được khuyến nghị cập nhật phiên bản mới sớm nhất có thể.

Nguồn: Bleeping Computer