Los actores de amenazas están explotando activamente una serie de vulnerabilidades críticas en la plataforma ServiceNow para robar credenciales de agencias gubernamentales y empresas privadas. Aunque ServiceNow lanzó actualizaciones de seguridad para estas fallas el pasado 10 de julio, decenas de miles de sistemas siguen siendo potencialmente vulnerables.
Según la información publicada por The Stack, «un atacante no autenticado podría encadenar un trío de vulnerabilidades críticas de ServiceNow para lograr una ejecución remota completa de código (RCE), con casi 42.000 instancias de ServiceNow expuestas en el momento de la divulgación en mayo». Estas vulnerabilidades, descubiertas inicialmente por los especialistas de Assetnote, ya cuentan con parches disponibles, pero aún muchas instancias no han sido actualizadas.
La Amenaza Activa
La actividad maliciosa fue reportada por Resecurity, que tras monitorizarla durante una semana, identificó múltiples víctimas, incluidas agencias gubernamentales, centros de datos, proveedores de energía y empresas de desarrollo de software. El investigador independiente de ciberseguridad Chirag Artani detalló métodos para la detección de estas vulnerabilidades, mientras que otros investigadores han compartido consejos utilizando plantillas personalizadas de Nuclei y Python para automatizar la detección.
Según Imperva, «se han observado intentos de explotación que aprovechan estas vulnerabilidades en más de 6.000 sitios de diversas industrias, especialmente en la industria de servicios financieros».
Detalles de la Explotación
ServiceNow es una plataforma basada en la nube que ayuda a las organizaciones a gestionar flujos de trabajo digitales para operaciones empresariales, adoptada ampliamente en diversas industrias, incluyendo el sector público, atención médica, instituciones financieras y grandes empresas. Escaneos de Internet han identificado casi 300.000 instancias expuestas, reflejando la popularidad del producto.
El 10 de julio de 2024, ServiceNow lanzó revisiones para CVE-2024-4879, una falla de validación de entrada crítica con un puntaje CVSS de 9.3, que permite a usuarios no autenticados realizar la ejecución remota de código en múltiples versiones de Now Platform.
Al día siguiente, los investigadores de Assetnote publicaron un artículo detallado sobre CVE-2024-4879 y dos fallas adicionales, CVE-2024-5178 y CVE-2024-5217, que pueden ser encadenadas para acceder completamente a la base de datos.
Explotación Vista y Medidas a Tomar
Resecurity ha reportado que los actores de amenazas han aprovechado casi de inmediato los exploits funcionales disponibles en GitHub para encontrar instancias vulnerables. La explotación observada incluye una inyección para verificar un resultado específico en la respuesta del servidor, seguida de una carga útil de segunda etapa que accede al contenido de la base de datos. Si tiene éxito, el atacante puede descargar listas de usuarios y credenciales de las cuentas habilitadas.
Aunque en la mayoría de los casos las credenciales robadas estaban encriptadas, algunas instancias violadas expusieron credenciales en texto plano. Esta situación ha generado una gran cantidad de conversaciones en foros clandestinos sobre las fallas de ServiceNow, especialmente por parte de usuarios que buscan acceso a mesas de servicio de TI y portales corporativos, indicando un interés significativo por parte de la comunidad de delitos cibernéticos.
Llamado a la Acción
ServiceNow ha puesto a disposición correcciones para las tres vulnerabilidades en boletines separados para CVE-2024-4879 (CVSS 9.8), CVE-2024-5178 (CVSS 7.5) y CVE-2024-5217 (CVSS 9.2). Se recomienda encarecidamente a los usuarios verificar la versión de sus sistemas y asegurarse de haber aplicado los parches necesarios lo antes posible.
Los enlaces para escanear y detectar instancias vulnerables son los siguientes:
- FOFA: en.fofa.info
- SHODAN: beta.shodan.io
- HUNTERS: hunter.how
La pronta acción es crucial para proteger los sistemas y la información sensible contra estos ataques.
