威胁行为者正在利用公开的漏洞将 ServiceNow 漏洞链接在一起，以便在数据盗窃活动中渗透到政府组织和商业公司。

安全研究人员监控了恶意活动并确定了多个受害者，包括政府机构、数据中心、能源供应商，甚至软件开发公司。

尽管该公司于 2024 年 7 月 10 日通过安全升级修复了这些漏洞，但数以万计的系统仍可能受到入侵。

ServiceNow 是一个被广泛采用的基于云的平台，可帮助组织管理企业运营的数字工作流程。它被各行各业的公司使用，包括公共部门组织、医疗保健、金融机构和大型企业。

有关利用的详细信息

ServiceNow 于 2024 年 7 月 10 日提供了针对 CVE-2024-4879 的修补程序，CVE-2024-4879 是一个主要（CVSS 评分：9.3）输入验证漏洞，允许未经授权的用户在各种 Now Platform 版本上远程执行代码。

第二天，即 7 月 11 日，发现该问题的研究人员发布了一份关于另外两个 ServiceNow 漏洞（CVE-2024-5178 和 CVE-2024-5217）的综合报告，除了 CVE-2024-4879 之外，还可以链接这些漏洞以完全访问数据库。

根据 CVE-2024-4879 的文章和大规模网络扫描程序，威胁行为者几乎立即使用了迅速淹没 GitHub 的大量有效漏洞来识别易受攻击的实例。

该操作使用有效负载注入来检查服务器响应中的特定结果，然后使用第二阶段有效负载来检查数据库内容。

如果成功，攻击者会转储用户列表和帐户凭据。尽管其中大多数都经过了哈希处理，但仍有一些违规实例暴露了明文凭据。

由于大量客户和地下论坛上关于ServiceNow漏洞的普遍讨论，网络犯罪社区对利用这些漏洞产生了浓厚的兴趣。

ServiceNow 本月早些时候修复了这三个漏洞，并发布了 CVE-2024-4879、CVE-2024-5178 和 CVE-2024-5217 的不同公告。

建议用户验证他们是否已在所有实例上应用了补丁，如果尚未应用，则尽快通过查找公告中列出的补丁版本来验证。