Kwaadwillenden maken deze week op grote schaal misbruik van bekende kwetsbaarheden in het Now Platform van ServiceNow. Voor de kwetsbaarheden zijn al updates beschikbaar. De aanvallers richten zich dan ook op partijen die deze patches niet hebben geïnstalleerd en daardoor een verouderde versie van het Now Platform draaien.

Hiervoor waarschuwt GreyNoise. Het gaat om drie kwetsbaarheden: CVE-2024-4879, CVE-2024-5217 en CVE-2024-5178. CVE-2024-4879 is een fout in de invoervalidatie van ServiceNow en kan worden uitgebuit om op afstand code uit te voeren op het Now Platform. Een update is sinds 14 mei 2024 beschikbaar.

CVE-2024-5217 is vergelijkbaar met CVE-2024-4879 en maakt ook misbruik van een fout uit in de wijze waarop input wordt gevalideerd. Ook in dit geval maakt dit het mogelijk op afstand code uit te voeren in instances van het Now Platform. Voor dit lek is sinds juni 2024 een update beschikbaar. CVE-2024-4879 en CVE-2024-5217 worden beide als kritiek beschouwd.

Ongeautoriseerde toegang

CVE-2024-5178 is een kwetsbaarheid die aanvallers die beheerdersrechten weten te bemachtigen ongeautoriseerde toegang kan geven tot gevoelige bestanden op de webapplicatieserver. Voor dit lek, dat is ingeschaald als middelhoog, is ook sinds juni 2024 een patch beschikbaar.

Met name organisaties in Israël lijken doelwit te zijn van de aanvallen. GreyNoise meldt dat 70% van de getroffen systemen zich in Israël bevindt. Ook meldt het bedrijf dat aanvallers door de kwetsbaarheden te combineren volledig toegang kunnen verkrijgen tot de database.

Advies

Organisaties wordt geadviseerd hun systemen te controleren en de beschikbare updates zo snel mogelijk te installeren om misbruik te voorkomen.