ServiceNow heeft in mei en juli kwetsbaarheden gepatcht in zijn software. Alle door ServiceNow gehoste instances zijn gepatcht. Kwaadwillenden zijn echter op zoek naar slachtoffers met zelf gehoste ongepatchte instances bij overheidsorganisaties, datacenters, energieleveranciers en softwareontwikkelingsbedrijven.
De kwetsbaarheden zijn vanwege hun kritieke aard uitgebreid behandeld door securitybedrijven Resecurity en Assetnote. In essentie komt het erop neer dat meerdere kwetsbaarheden in ServiceNow moeten worden misbruikt om toegang te krijgen tot gegevens. ServiceNow bracht eerder in mei en juli patches uit.
Op 10 juli bracht de softwareleverancier een fix uit voor de kwetsbaarheid CVE-2024-4879. Dit was een input validatie-kwetsbaarheid, wat betekent dat ongeautoriseerde gebruikers op afstand code kunnen uitvoeren op verschillende versies van het ServiceNow-platform.
Assetnote beschreef exact een dag later hoe CVE-2024-4879 kan worden gebruikt in combinatie met twee andere kwetsbaarheden, CVE-2024-5178 en CVE-2024-5217. Hierdoor kunnen hackers in theorie volledige toegang krijgen tot een database. ServiceNow laat in een reactie dat al door hun gehoste instances zijn gepatcht en er geen aanwijzingen zijn dat klanten slachtoffer zijn geworden van deze theoretische hack. Wel spoort het klanten aan die zelf hosten om zo snel mogelijk te patchen.
Publiekelijk beschikbaar
Wat opviel, was dat binnen korte tijd exploits en scanners voor CVE-2024-4879 beschikbaar werden op GitHub. Deze worden volgens Resecurity gebruikt om kwetsbare instances te identificeren. Bij de momenteel opduikende exploits wordt een payload injection gebruikt om een specifieke serverreactie op te sporen. Daarna kan een payload worden geleverd om de inhoud van de database te controleren. Als dit succesvol is, kan de hacker een gebruikerslijst en accountgegevens bemachtigen. In de meeste gevallen gaat het om gehashte data, maar er zijn gevallen bekend van inloggegevens in platte tekst, aldus de securitybedrijven.
ServiceNow heeft voor alle drie de kwetsbaarheden fixes beschikbaar gemaakt. Gebruikers worden dan ook geadviseerd te controleren of ze de geüpdatete versies gebruiken, om zo niet alsnog slachtoffer te worden.