Attacchi informatici ai danni di agenzie governative: sfruttate le vulnerabilità di ServiceNow - Socialmedialife.it
L’agenzia di sicurezza Resecurity ha segnalato una crescente attività malevola che coinvolge attori minacciosi che, utilizzando vulnerabilità note di ServiceNow, stanno eseguendo attacchi mirati contro agenzie governative e aziende private. Questo fenomeno è preoccupante per la sicurezza dei dati, poiché i sistemi vulnerabili possono esporre informazioni sensibili e credenziali di accesso.
Panoramica delle vulnerabilità di ServiceNow
La piattaforma ServiceNow
ServiceNow è una soluzione basata su cloud progettata per ottimizzare e gestire i flussi di lavoro digitali all’interno delle organizzazioni. La sua diffusione è stata notevole, spaziando tra diverse industrie, dalle amministrazioni pubbliche a istituti finanziari, passando per il settore sanitario e grandi imprese. Attualmente, casi di utilizzo di ServiceNow sono riscontrabili in quasi 300.000 istanze esposte su Internet, un numero che evidenzia non solo la sua popolarità, ma anche il rischio associato all’utilizzo di una piattaforma così diffusa.
Vulnerabilità individuate
Nel tentativo di salvaguardare gli utenti, ServiceNow ha pubblicato aggiornamenti di sicurezza il 10 luglio 2024. Tuttavia, nonostante questi sforzi, molti sistemi rimangono potenzialmente a rischio a causa della presenza di tre vulnerabilità critiche, tra cui CVE-2024-4879. Questo specifico exploit, con un punteggio di severità CVSS di 9.3, consente a utenti non autenticati di eseguire codice da remoto su varie versioni della piattaforma.
Successivamente alla pubblicazione degli aggiornamenti, i ricercatori di Assetnote hanno condiviso un’analisi approfondita di CVE-2024-4879 e di altre vulnerabilità correlate, CVE-2024-5178 e CVE-2024-5217. Questi bug possono essere concatenati per ottenere l’accesso completo al database di ServiceNow, aumentando ulteriormente la facilità con cui i malintenzionati possono sfruttare le lacune di sicurezza.
Dettagli sugli exploit in corso
Metodi di sfruttamento
Le tattiche attualmente impiegate dagli attaccanti prevedono un’iniezione di payload volta a verificare specifiche risposte del server, seguita da un secondo payload che esplora i contenuti del database. In caso di successo, gli aggressori possono estrarre elenchi di utenti e credenziali di accesso. Sebbene nella maggior parte dei casi le credenziali siano state trovate in forma crittografata, in alcuni incidenti sono emerse informazioni in chiaro, esponendo ulteriormente i rischi associati all’uso della piattaforma.
Interesse della comunità di cybercrime
Resecurity ha notato un aumento delle discussioni sulle vulnerabilità di ServiceNow all’interno di forum underground. Gli utenti sembrano particolarmente interessati ad accedere a strutture come sportelli di assistenza IT e portali aziendali, confermando la rilevanza e l’attrattiva delle vulnerabilità scoperte. Tale interesse è un indicatore chiaro della crescente minaccia rappresentata dagli attori malevoli che mirano a sfruttare questi punti deboli per compiere attacchi mirati.
Raccomandazioni per gli utenti
Applicazione degli aggiornamenti di sicurezza
Alle organizzazioni che utilizzano ServiceNow viene raccomandato di verificare le versioni corrette indicate negli avvisi e di garantire che tutte le istanze siano state aggiornate con le patch rilasciate. La prontezza nell’applicazione di questi aggiornamenti è fondamentale per ridurre il rischio di attacchi riusciti e per preservare l’integrità dei dati sensibili. Il monitoraggio continuo e l’implementazione di misure di sicurezza aggiuntive saranno cruciali per proteggere le infrastrutture digitali da future minacce.
Negli ultimi anni, le vulnerabilità nelle piattaforme di gestione dei flussi di lavoro aziendale hanno richiamato l’attenzione sulla necessità di una vigilanza costante nel settore della cybersecurity. Le organizzazioni sono esortate a prendere misure proattive per proteggere i propri sistemi e dati contro l’evoluzione delle tecniche di attacco.
