Peretas meningkatkan upaya mereka untuk mengeksploitasi trio kerentanan servicenow yang berusia setahun untuk masuk ke contoh perusahaan yang tidak ditandingi, para peneliti keamanan memperingatkan minggu ini.
Ancaman startup intelijen greynoise mengatakan dalam a Posting Blog Pada hari Selasa bahwa ia telah mengamati “kebangkitan terkenal aktivitas di atas” yang menargetkan tiga kerentanan serviceNow, dilacak sebagai CVE-2024-4879, CVE-2024-5178, dan CVE-2024-5217.
Kerentanan pertama kali diungkapkan oleh Peneliti di AssetNote Pada bulan Mei 2024 dan ditambal oleh ServiceNow beberapa bulan kemudian pada bulan Juli 2024.
Greynoise mengatakan bahwa ketiga kelemahan telah melihat kebangkitan dalam upaya eksploitasi yang ditargetkan dalam seminggu terakhir. Tidak diketahui dengan tepat siapa yang berada di balik gelombang penargetan terbaru ini, tetapi Greynoise mengatakan bahwa 70% dari aktivitas jahat yang diamati dalam sistem target minggu terakhir yang berbasis di Israel, dengan aktivitas juga terlihat di Jerman, Jepang, dan Lithuania.
Seperti yang pertama kali dicatat oleh AssetNote tahun lalu, Greynoise juga menegaskan bahwa kerentanan dapat dirantai bersama untuk “akses database penuh” dari instance ServiceNow yang terpengaruh. Organisasi sering menggunakan platform ServiceNow untuk meng -host data sensitif tentang karyawan mereka, termasuk informasi yang dapat diidentifikasi secara pribadi dan catatan SDM terkait dengan pekerjaan mereka.
Juru bicara ServiceNow Erica Faltous mengatakan kepada TechCrunch bahwa perusahaan pertama kali mengetahui tentang kerentanan “hampir setahun yang lalu”, dan, “sampai saat ini, kami belum mengamati dampak pelanggan dari kampanye serangan.”
Mengikuti pengungkapan kelemahan Assetnote tahun lalu, Resekuritas perusahaan keamanan AS memperingatkan Aktor ancaman asing itu telah berusaha untuk mengeksploitasi tiga kerentanan servicenow untuk menargetkan perusahaan sektor swasta dan lembaga pemerintah di seluruh dunia.
Resecurity mengatakan mereka melihat upaya yang ditargetkan di perusahaan energi, organisasi pusat data, agen pemerintah Timur Tengah, dan pengembang perangkat lunak.
Perusahaan Cybersecurity Imperva merilis yang lain laporan Pada Juli 2024 memperingatkan bahwa mereka juga telah mengamati upaya eksploitasi di 6.000 situs di berbagai industri, dengan fokus pada sektor jasa keuangan.
