هکرها با سوءاستفاده از آسیب‌پذیری‌های یک ساله ServiceNow، حملات خود را به سیستم‌های بدون وصله افزایش می‌دهند!

هکرها با تلاش‌های بیشتری برای بهره‌برداری از سه آسیب‌پذیری یک ساله در پلتفرم ServiceNow به منظور نفوذ به نمونه‌های بدون وصله شرکت‌ها، فعالیت می‌کنند. محققان امنیتی این هفته نسبت به این موضوع هشدار داده‌اند.

شرکت GreyNoise، که در زمینه اطلاعات تهدیدات فعالیت می‌کند، در یک پست وبلاگی در روز سه‌شنبه اعلام کرد که شاهد یک “احیای قابل توجه فعالیت‌های در حال انجام” در زمینه هدف‌گیری سه آسیب‌پذیری ServiceNow بوده است که با نام‌های CVE-2024-4879، CVE-2024-5178 و CVE-2024-5217 شناخته می‌شوند.

این آسیب‌پذیری‌ها ابتدا در ماه مه 2024 توسط محققان شرکت Assetnote افشا شدند و ServiceNow چند ماه بعد در ماه جولای 2024 وصله‌های لازم را ارائه کرد.

GreyNoise بیان کرد که هر سه آسیب‌پذیری در هفته گذشته شاهد افزایش تلاش‌های هدف‌مند برای بهره‌برداری بودند. مشخص نیست که چه کسی پشت این موج جدید هدف‌گیری قرار دارد، اما GreyNoise اعلام کرد که 70 درصد از فعالیت‌های مخرب مشاهده شده در هفته گذشته، سیستم‌های مستقر در اسرائیل را هدف قرار داده است و فعالیت‌هایی نیز در آلمان، ژاپن و لیتوانی مشاهده شده است.

همان‌طور که سال گذشته توسط Assetnote اشاره شد، GreyNoise همچنین تأیید می‌کند که این آسیب‌پذیری‌ها می‌توانند به هم زنجیر شوند تا “دسترسی کامل به پایگاه داده” نمونه‌های آسیب‌دیده ServiceNow فراهم کنند. سازمان‌ها معمولاً از پلتفرم ServiceNow برای میزبانی داده‌های حساس درباره کارمندان خود استفاده می‌کنند، از جمله اطلاعات قابل شناسایی شخصی و سوابق منابع انسانی مربوط به اشتغال آن‌ها.

اریکا فالتوس، سخنگوی ServiceNow، به TechCrunch گفت که این شرکت “نزدیک به یک سال پیش” از این آسیب‌پذیری‌ها مطلع شده است و “تا به امروز، هیچ تأثیری از یک کمپین حمله بر روی مشتریان خود مشاهده نکرده‌ایم.”

پس از افشای آسیب‌پذیری‌ها توسط Assetnote در سال گذشته، شرکت امنیتی آمریکایی Resecurity هشدار داد که بازیگران تهدید خارجی تلاش کرده‌اند از سه آسیب‌پذیری ServiceNow برای هدف قرار دادن شرکت‌های بخش خصوصی و آژانس‌های دولتی در سرتاسر جهان استفاده کنند.

Resecurity اعلام کرد که تلاش‌های هدف‌مند را در یک شرکت انرژی، یک سازمان مرکز داده، یک آژانس دولتی در خاورمیانه و یک توسعه‌دهنده نرم‌افزار مشاهده کرده است.

شرکت امنیت سایبری Imperva نیز در گزارشی که در جولای 2024 منتشر کرد، هشدار داد که آن‌ها همچنین تلاش‌های بهره‌برداری را در 6000 وب‌سایت در صنایع مختلف مشاهده کرده‌اند که تمرکز آن‌ها بر روی بخش خدمات مالی بوده است.

• افزایش تلاش‌های بهره‌برداری: هکرها برای نفوذ به نمونه‌های بدون وصله، تلاش‌های بیشتری انجام می‌دهند.
• احیای فعالیت‌های مخرب: GreyNoise از افزایش فعالیت‌های هدف‌مند در هفته گذشته خبر داده است.
• تأثیرات جهانی: 70 درصد از فعالیت‌های مشاهده شده در اسرائیل رخ داده است.
• دسترسی به داده‌های حساس: آسیب‌پذیری‌ها می‌توانند به داده‌های حساس کارمندان دسترسی پیدا کنند.
• تلاش‌های جهانی: Resecurity هشدار داده که این آسیب‌پذیری‌ها به هدف‌های بین‌المللی آسیب می‌زنند.

با توجه به اینکه این آسیب‌پذیری‌ها همچنان به عنوان یک تهدید جدی باقی می‌مانند، سازمان‌ها باید اقداماتی را برای محافظت از داده‌های خود و جلوگیری از احتمال نفوذ انجام دهند. این شامل به‌روزرسانی‌های منظم نرم‌افزار، نظارت بر فعالیت‌های مشکوک و آموزش کارکنان در زمینه امنیت سایبری می‌شود.

در نتیجه، حفظ امنیت اطلاعات در دنیای دیجیتال امروز امری ضروری است و سازمان‌ها باید به طور مداوم در حال ارزیابی و بهبود پروتکل‌های امنیتی خود باشند تا از آسیب‌پذیری‌های احتمالی جلوگیری کنند.