شهریور ۲۷, ۱۴۰۳
  • twitter
  • telegram
  • linkedin
  • youtube
  • instagram
  • aparat

آسیب‌پذیری‌های بحرانی RCE در ServiceNow برای سرقت رمزهای عبور استفاده می شود.

مهاجمان با استفاده از آسیب‌پذیری‌های مختلف در ServiceNow و ابزارهای عمومی برای نفوذ به سیستم‌های سازمان‌های دولتی و شرکت‌های خصوصی و سرقت داده‌ها استفاده می کنند.

شرکت Resecurity گزارشی از یک فعالیت مخرب ارائه داده و پس از نظارت بر آن به مدت یک هفته، توانسته چندین قربانی مختلف از جمله سازمان‌های دولتی، مراکز داده، تأمین‌کنندگان انرژی، و شرکت‌های توسعه نرم‌افزار را شناسایی کند.

باوجود به‌روزرسانی‌های امنیتی منتشرشده، تعداد زیادی از سیستم‌ها ممکن است هنوز به دلیل عدم به‌روزرسانی یا سایر مشکلات، در معرض خطر حملات باقی بمانند.

جزئیات بهره‌برداری

ServiceNow یک پلتفرم مبتنی بر ابر است که به سازمان‌ها کمک می‌کند تا فرآیندها و گردش‌های کار دیجیتال خود را به‌طور مؤثر مدیریت کنند.

این پلتفرم در صنایع مختلف به‌طور گسترده‌ای مورد استفاده قرار می‌گیرد، از جمله سازمان‌های بخش عمومی، بهداشت و درمان، موسسات مالی و شرکت‌های بزرگ. اسکن‌های اینترنتی FOFA نزدیک به ۳۰۰,۰۰۰ نمونه در معرض اینترنت را برمی‌گردانند که نشان‌دهنده محبوبیت این محصول است.

در تاریخ ۱۰ ژوئیه ۲۰۲۴، ServiceNow به‌روزرسانی‌های فوری (hotfixes ) را برای CVE-2024-4879، یک آسیب‌پذیری بحرانی ( امتیاز CVSS: 9.3)  در اعتبارسنجی ورودی که به کاربران بدون احراز هویت اجازه می‌دهد تا کد از راه دور را بر روی نسخه‌های مختلف پلتفرم Now اجرا کنند، در دسترس قرار داد.

در تاریخ ۱۱ ژوئیه، محققان Assetnote که این آسیب‌پذیری را کشف کرده بودند، یک گزارش دقیق درباره CVE-2024-4879 و دو آسیب‌پذیری دیگر ( CVE-2024-5217 و CVE-2024-5178) در ServiceNow منتشر کردند که می‌توانند به‌طور زنجیره‌ای برای دسترسی کامل به پایگاه داده استفاده شوند.

پس از انتشار گزارش درباره آسیب‌پذیری CVE-2024-4879، GitHub با ابزارهای بهره‌برداری و اسکنرهای شبکه مربوط به این آسیب‌پذیری پر شد و مهاجمان به سرعت از این ابزارها برای شناسایی سیستم‌های آسیب‌پذیر استفاده کردند.

Exploit کردن این آسیب پذیری شامل دو مرحله است: ابتدا Payload مورد نظر برای بررسی پاسخ سرور تزریق می شود و سپس از Payload دیگری برای بررسی محتوای پایگاه داده استفاده می کنند.

اگر حمله موفقیت‌آمیز باشد، مهاجم می‌تواند فهرست‌های کاربران و اعتبارنامه‌های حساب‌ها را استخراج کند و در بیشتر موارد این اطلاعات هش شده‌اند، اما در برخی موارد، اطلاعات به‌صورت متنی و قابل خواندن نیز افشا شده‌اند.

Resecurity مشاهده کرده است که آسیب‌پذیری‌های ServiceNow به‌طور گسترده‌ای در فروم‌های زیرزمینی مورد بحث قرار گرفته است، به‌ویژه توسط کسانی که به دنبال دسترسی به سیستم‌های خاص هستند، که نشان‌دهنده علاقه زیاد جامعه جرایم سایبری به این آسیب‌پذیری‌ها است.

ServiceNow در اوایل این ماه، اصلاحات لازم برای هر سه آسیب‌پذیری را در بولتن‌های جداگانه برای

 CVE-2024-4879، CVE-2024-5178، و CVE-2024-5217 منتشر کرده است.

نوشته های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آخرین مطالب