BreachForums 上的一名威胁行为者声称，在利用基于云的 IT 服务管理平台中最近披露的两个关键漏洞后，已从超过 105 个 ServiceNow 数据库中收集了电子邮件地址和相关哈希值。

Resecurity 的 HUNTER 威胁团队的研究人员上周晚些时候警告说，两个 ServiceNow 漏洞（CVE-2024-4879，CVSS 评分为 9.3 分，满分 10 分;CVE-2024-5217，CVSS 评分为 9.2）正在野外被积极利用，并表示他们看到 BreachForums 成员将数据以 5,000 美元的价格出售。

与此同时，美国网络安全和基础设施安全局 （CISA） 今天将这两个漏洞添加到其已知的被利用漏洞目录中，因为最近几天有多份关于其他利用这些漏洞的尝试的报告。联邦文职行政部门机构必须在 8 月 19 日之前应用 ServiceNow 的补丁，或者停止使用该平台，直到他们能够解决问题。

重新安全研究人员表示，对ServiceNow的攻击应该是意料之中的。他们写道：“在暗网上的多个地下论坛上已经发现了喋喋不休的喋喋不休，突出了威胁行为者寻求对IT服务台、公司门户和其他企业系统的妥协访问，这些系统通常为员工和承包商提供远程访问。“这些系统可用于预先定位和攻击计划，以及侦察。

未经身份验证的 RCE 链允许完全访问

CVE-2024-4879 是 ServiceNow 的“温哥华”和“华盛顿特区”版本平台中的输入验证漏洞。它使未经身份验证的远程攻击者能够执行任意代码。供应商已评估该漏洞易于利用，并且不需要用户交互或特殊条件。CVE-2024-5217 是温哥华、华盛顿特区和早期版本的 Now 中类似的严重输入验证缺陷，该漏洞还允许远程代码执行 （RCE） 并且很容易被利用。

ServiceNow 于 7 月 10 日发布了针对这两个漏洞的修补程序，并针对同一软件中的第三个（不太严重）漏洞 （CVE-2024-5178） 进行了修复。AssetNote 发现了这三个漏洞，并于 5 月将其报告给 ServiceNow，将这些问题描述为“允许完全数据库访问和完全访问任何服务器的漏洞链”，组织可能使用这些漏洞来访问云托管实例。

一个公开的概念验证漏洞 （PoC） 很快发布，为野外的广泛攻击铺平了道路。

野外攻击开始升级

Resecurity上周报告说，观察到多个攻击者探测ServiceNow实例，以检查它们是否容易受到攻击。“最初，威胁行为者正在注入有效载荷并检查响应中的特定乘法结果，”Resecurity说。接下来，攻击者注入了一个有效载荷，该有效载荷检查了数据库的内容并将其提取出来。“最后阶段涉及倾倒用户列表并从受感染的实例中收集相关的元数据。”

Resecurity研究人员在给Dark Reading的电子邮件评论中指出，到目前为止，这些攻击已经针对Resecurity的客户（包括一家能源公司、一个数据中心组织、一个中东政府机构和一家软件开发商）、关键基础设施、外国政府以及金融机构。研究人员说，根据多名受害者的反馈，他们中的一些人似乎一直在使用ServiceNow的本地或自托管版本，或者由于某种原因选择不再接收公司的自动更新。

“值得注意的是，他们中的一些人不知道发布的补丁，在某些情况下，他们的开发人员和软件工程师使用了过时或维护不善的实例，”该公司指出。

Imperva在7月23日还表示，它已经观察到有人试图利用针对金融部门和其他多个行业组织的漏洞。当时，Imperva报告说，在多达6,000个地点观察到了开采尝试。

“攻击者主要利用自动化工具来针对登录页面，”Imperva说。“我们在攻击中看到了两种常见的有效载荷：一种用于测试远程代码执行（RCE）是否可行，另一种用于显示数据库用户和密码的命令。

对 Internet 扫描可见的 ServiceNow 实例数量的估计值（因此可能是利用尝试的目标）从高端的 297,700 多个到另一端的不到 10,000 个不等。

“不幸的是，对于有动机的攻击者来说，找到并利用这些易受攻击的系统并不是特别困难，”DoControl的联合创始人兼CRO Omri Weinberg说。

自托管 MID 服务器可能成为目标

Weinberg说，ServiceNow是一个广泛使用的平台，其实例通常具有面向公众的组件，威胁行为者可以使用自动扫描工具相对容易地找到这些组件。一旦攻击者能够找到易受攻击的实例，“漏洞利用链就不需要高水平的技术复杂性，使其能够被广泛的攻击者访问。

Weinberg 建议无法立即修补的组织将重点放在基本的安全卫生上，例如加强访问控制、增加监控，并在可能的情况下将访问限制为仅受信任的 IP 范围。

Contrast Security的产品安全总监Naomi Buckwalter表示，使用自托管代理服务器（ServiceNow称为MID服务器）将内部系统连接到ServiceNow基于云的平台的组织应特别注意新的缺陷。

Buckwalter说：“虽然MID服务器不会直接暴露在互联网上，但设法破坏内部网络的攻击者可能会利用这些漏洞来访问敏感数据，并破坏在Now平台上运行的关键业务运营。“在最坏的情况下，攻击者可能会泄露数据、操纵文件并未经授权访问机密信息，”她说。“ServiceNow 已经发布了补丁来解决这些漏洞，但如果没有应用更新，使用自托管 MID 服务器的组织可能仍面临风险。”