![](https://breachtrace.com/wp-content/uploads/2024/07/hacker-2-1024x576.jpg)
Les acteurs de la menace enchaînent les failles ServiceNow en utilisant des exploits accessibles au public pour violer les agences gouvernementales et les entreprises privées lors d’attaques de vol de données.
Cette activité malveillante a été signalée par Resecurity, qui, après l’avoir surveillée pendant une semaine, a identifié plusieurs victimes, notamment des agences gouvernementales, des centres de données, des fournisseurs d’énergie et des sociétés de développement de logiciels.
Bien que le fournisseur ait publié des mises à jour de sécurité pour les failles le 10 juillet 2024, des dizaines de milliers de systèmes restent potentiellement vulnérables aux attaques.
Détails d’exploitation
ServiceNow est une plate-forme basée sur le cloud qui aide les organisations à gérer les flux de travail numériques pour les opérations d’entreprise.
Il est largement adopté dans divers secteurs, notamment les organisations du secteur public, les soins de santé, les institutions financières et les grandes entreprises. Les analyses Internet FOFA renvoient près de 300 000 instances exposées à Internet, reflétant la popularité du produit.
Le 10 juillet 2024, ServiceNow a mis à disposition des correctifs pour CVE-2024-4879, un défaut critique de validation d’entrée (score CVSS: 9,3) permettant aux utilisateurs non authentifiés d’exécuter du code à distance sur plusieurs versions de la plate-forme Now.
Le lendemain, le 11 juillet, les chercheurs d’Assetnote qui ont découvert la faille ont publié un article détaillé sur CVE-2024-4879 et deux autres failles (CVE-2024-5178 et CVE-2024-5217) dans ServiceNow qui peuvent être chaînées pour un accès complet à la base de données.
Bientôt, GitHub a été inondé d’exploits fonctionnels basés sur l’écriture et les scanners de réseau en masse pour CVE-2024-4879, que les acteurs de la menace ont presque immédiatement exploités pour trouver des instances vulnérables, rapporte Resecurity.
L’exploitation en cours vue par la resécurité utilise une injection de charge utile pour vérifier un résultat spécifique dans la réponse du serveur, suivie d’une charge utile de deuxième étape qui vérifie le contenu de la base de données.
En cas de succès, l’attaquant vide les listes d’utilisateurs et les informations d’identification du compte. Resecurity indique que dans la plupart des cas, ceux-ci ont été hachés, mais certaines des instances violées ont exposé des informations d’identification en clair.
![](https://breachtrace.com/wp-content/uploads/2024/07/credentials.png)
La sécurité a suscité de nombreux bavardages sur les failles ServiceNow sur les forums clandestins, en particulier de la part des utilisateurs cherchant à accéder aux bureaux de services informatiques et aux portails d’entreprise, ce qui témoigne d’un grand intérêt de la communauté de la cybercriminalité.
ServiceNow a publié des correctifs pour les trois vulnérabilités plus tôt ce mois-ci dans des bulletins distincts pour CVE-2024-4879, CVE-2024-5178 et CVE-2024-5217.
Il est recommandé aux utilisateurs de vérifier la version corrigée indiquée sur les avis et de s’assurer qu’ils ont appliqué le correctif sur toutes les instances ou de le faire dès que possible s’ils ne l’ont pas fait.