Los hackers están intensificando sus intentos de aprovechar tres vulnerabilidades de ServiceNow de un año de antigüedad para ingresar a instancias de empresas no parcheadas, advirtieron investigadores de seguridad esta semana. La startup de inteligencia de amenazas GreyNoise dijo en una publicación de blog el martes que había observado una «resurgencia notable de actividades en la naturaleza» dirigidas a las tres vulnerabilidades de ServiceNow, rastreadas como CVE-2024-4879, CVE-2024-5178 y CVE-2024-5217.
Las vulnerabilidades fueron reveladas por primera vez por investigadores de Assetnote el 14 de mayo de 2024 y parcheadas por ServiceNow el mismo día, dijo la portavoz de ServiceNow, Erica Faltous, a TechCrunch. Los detalles de los errores fueron revelados públicamente más tarde en julio de 2024. GreyNoise dijo que las tres fallas han visto una resurgencia en los intentos de explotación dirigidos en la última semana. No se sabe exactamente quién está detrás de esta última ola de ataques, pero GreyNoise dijo que el 70% de la actividad maliciosa observada en la última semana apuntó a sistemas ubicados en Israel, con actividad también observada en Alemania, Japón y Lituania.
Como señaló por primera vez Assetnote el año pasado, GreyNoise también confirma que las vulnerabilidades pueden ser encadenadas juntas para lograr un «acceso completo a la base de datos» de las instancias afectadas de ServiceNow. Las organizaciones a menudo utilizan la plataforma de ServiceNow para alojar datos sensibles sobre sus empleados, incluida su información personal identificable y registros de recursos humanos relacionados con su empleo. ServiceNow le dijo a TechCrunch que la empresa supo por primera vez de las vulnerabilidades «hace casi un año» y, «hasta la fecha, no hemos observado ningún impacto en los clientes por una campaña de ataque».
Tras la divulgación de las fallas por Assetnote el año pasado, la empresa de seguridad estadounidense Resecurity advirtió que actores de amenazas extranjeras habían intentado explotar las tres vulnerabilidades de ServiceNow para atacar tanto a empresas del sector privado como a agencias gubernamentales de todo el mundo. Resecurity dijo que vio intentos dirigidos a una compañía de energía, una organización de centros de datos, una agencia gubernamental del Medio Oriente y un desarrollador de software. La empresa de ciberseguridad Imperva también emitió un informe en julio de 2024 advirtiendo que también había observado intentos de explotación en 6,000 sitios de diversas industrias, con un enfoque en el sector de servicios financieros. Amendamos el tercer párrafo para señalar que ServiceNow emitió una solución el mismo día que la divulgación de Assetnote.
