Tres vulnerabilidades críticas descubiertas en la plataforma ServiceNow, que se pueden encadenar para permitir el acceso completo a la base de datos y al servidor, están bajo explotación activa, según un nuevo análisis. Las fallas fueron reveladas por primera vez por la empresa de gestión de superficies de ataque AssetNote en mayo, y afectan a varias versiones de la plataforma de transformación empresarial, incluidas sus versiones de Utah, Vancouver y Washington DC. Las dos primeras, CVE-2024-4879 y CVE-2024-5217, son vulnerabilidades de validación de entrada que podrían permitir a atacantes remotos no autenticados ejecutar código arbitrario en la plataforma Now. Esto podría conducir potencialmente a un compromiso, robo de datos e interrupción importante de las operaciones comerciales, según la empresa de seguridad Resecurity, que explica sus calificaciones CVSS de 9.3 y 9.2 respectivamente. La tercera falla, CVE-2024-5178, es una vulnerabilidad de lectura de archivos sensibles calificada con un 6.9 en el CVSS, que podría usarse para obtener acceso no autorizado a archivos en el servidor de aplicaciones web, incluidas direcciones de correo electrónico, contraseñas en hash y otros archivos sensibles.La calificación de gravedad moderada se debe al hecho de que esta falla requiere que el atacante haya obtenido privilegios administrativos, pero cuando se encadenan, los tres errores podrían darle a un atacante acceso a todos sus datos de ServiceNow, advirtió AssetNote. ServiceNow lanzó parches para las fallas el 14 de mayo, cuando fue notificado por AssetNote, pero un exploit de prueba de concepto para cada uno apareció inmediatamente después de que AssetNote publicara su informe sobre las vulnerabilidades. Reciba nuestras últimas noticias, actualizaciones de la industria, recursos destacados y más. Explotación activa en curso, con 300.000 instancias de ServiceNow potencialmente vulnerables En una publicación de blog publicada el 24 de julio, Resecurity utilizó el motor de búsqueda de red FOFA para estimar que hay alrededor de 300.000 instancias de ServiceNow que podrían ser potencialmente investigadas de forma remota por atacantes, y la mayor parte de las instancias identificadas se encuentran en EE. UU., Reino Unido, India y la UE. Resecurity dijo que ha observado a múltiples actores de amenazas que buscan explotar las fallas en la naturaleza, particularmente CVE-2024-4879 «Nuestros sensores de red registraron múltiples solicitudes de sondeo, lo que permitió a los atacantes confirmar si una instancia específica de ServiceNow era vulnerable antes de explotarla activamente». Resecurity descubrió que durante un período de una semana después de la divulgación de la vulnerabilidad, varias organizaciones fueron atacadas en varias regiones y verticales. Estas incluyen una agencia gubernamental en Medio Oriente, una corporación de energía, una organización de centro de datos y una casa de desarrollo de software, y Resecurity señaló que algunas de estas organizaciones no estaban al tanto de la vulnerabilidad. La empresa de seguridad Imperva publicó su propio informe el 23 de julio advirtiendo que había observado intentos de explotación que aprovechaban las tres vulnerabilidades en más de 6.000 sitios de varias industrias, pero apuntando al sector de servicios financieros en particular. Agregó que los atacantes están utilizando principalmente herramientas automatizadas para atacar las páginas de inicio de sesión, con el objetivo de implementar con dos cargas útiles. La primera para probar si es posible la ejecución remota de código y la segunda para revelar los usuarios de la base de datos y sus contraseñas. Los datos robados podrían usarse para futuros ataques y ciberespionaje, afirmó el informe, y agregó que se espera que los actores de amenazas ataquen cada vez más ServiceNow y plataformas similares. Además, los corredores de acceso inicial probablemente ya estén buscando monetizar el acceso a los portales y aplicaciones empresariales comprometidos. Un actor de amenazas ya ha enumerado las direcciones de correo electrónico recopiladas y los hashes asociados para más de 105 bases de datos de ServiceNow o la venta en el popular foro de la web oscura BreachForums, según un informe de Dark Reading.