ServiceNow Boşluğu Aktiv Şəkildə İstismar Edilir – Veri Sızıntısı
Live
Sorğu
Korporativ
Haqqımızda Qurucunun notu Mətbuat & Media Məxfilik siyasəti İstifadə şərtləri TSS Mətbuat Kiti
Məhsullar
HUBOne HUBCorp Tezliklə Veri Sızıntısı Android Tezliklə Veri Sızıntısı iOS Tezliklə Veri Sızıntısı Huawei Tezliklə Breach Radar Argus Flow Argus Engine LivePlatform
Texnologiyalar
Argus AI Nədir? HUBOne'da sına Argus Flow nədir? Argus Engine Nədir?
Bloq Əlaqə

ServiceNow Boşluğu Müştəri Məlumatlarını Sızdırdı

Kibertəhlükəsizlik dünyası, korporativ bulud hesablama nəhəngi ServiceNow-da aşkar edilən və aktiv şəkildə istismar edilən bir təhlükəsizlik boşluğu xəbəri ilə çalxalanır. Kimliyi məlum olmayan hakerlər, bu boşluqdan istifadə edərək çoxsaylı müştəri sistemlərinə icazəsiz giriş əldə ediblər.

ServiceNow loqosu üzərində xəbərdarlıq nişanı, kibertəhlükəsizlik boşluğu və məlumat sızmasını təmsil edir.

Nə Baş Verdi

Korporativ dünyanın onurğa sütununa çevrilən ServiceNow platforması, son günlərin ən çox danışılan kibertəhlükəsizlik hadisəsinin mərkəzindədir. Bir qrup kiberhücumçu, platformanın əsas komponentlərindən birində yer alan və indi "InstanceJacker" olaraq adlandırılan bir təhlükəsizlik boşluğundan istifadə edərək, aralarında böyük şirkətlərin də olduğu onlarla, bəlkə də yüzlərlə müştəri nüsxəsinə (instance) sızmağı bacarıb. Hadisə, ServiceNow-un öz təhlükəsizlik komandası tərəfindən deyil, bir neçə müştərisinin sistemlərində şübhəli fəaliyyətlər aşkarlayan üçüncü tərəf bir kibertəhlükəsizlik firmasının xəbərdarlığı ilə ortaya çıxıb. Bu vəziyyət, hücumun nə qədər səssiz və dərindən irəlilədiyinin bir sübutu kimidir.

Hücumçuların bu boşluğu ən azı son üç aydır aktiv şəkildə istifadə etdiyi təxmin edilir. Bu müddət ərzində, şirkətlərin ən həssas əməliyyat məlumatlarının yerləşdiyi bu rəqəmsal qalalara girib çıxıblar. ServiceNow, dünya miqyasında minlərlə böyük şirkətə İT xidmət idarəetməsi (ITSM), əməliyyat idarəetməsi (ITOM) və iş axını avtomatlaşdırılması kimi xidmətlər təqdim edir. Buna görə də, bir müştərinin sisteminə sızmaq, o şirkətin bütün daxili işləmə mexanizminə, işçi məlumatlarına, maliyyə hesabatlarına və hətta ticarət sirlərinə giriş demək ola bilər. Hazırda tam olaraq neçə şirkətin təsirləndiyi qeyri-müəyyən olaraq qalır, lakin ilkin hesabatlar təsirin geniş miqyaslı ola biləcəyini göstərir.

Ələ Keçirilən Məlumatlar

Hücumçuların hansı növ məlumatlara daxil olduğu, hadisənin ciddiliyini ortaya qoyur. İlkin nəticələrə görə, sızdırılan məlumatlar hər şirkətin ServiceNow istifadə məqsədinə görə dəyişsə də, ümumi kateqoriyalar olduqca narahatedicidir. Budur, ələ keçirildiyi düşünülən bəzi məlumat növləri:

E-poçtunuz sızdırılıb? Pulsuz yoxlayın — saniyələr içində nəticə.

İndi Yoxla →
  • Şəxsi Tanımlayıcı Məlumatlar (PII): İşçilərin adları, e-poçt ünvanları, telefon nömrələri, departament məlumatları və bəzi hallarda hətta ev ünvanları. Bu məlumatlar, fişinq hücumları üçün əsl qızıl mədənidir.
  • İT Varlıq və Konfiqurasiya Məlumatları: Şirkətlərin server məlumatları, IP ünvanları, proqram təminatı inventarları və şəbəkə topologiyaları. Bu, hücumçuların daha geniş miqyaslı hücumlar planlaşdırması üçün bir yol xəritəsi təqdim edir.
  • Daxili Yazışmalar və Dəstək Sorğuları: İşçilərin açdığı dəstək sorğuları (ticket'lər), hadisə hesabatları və departamentlər arası kommunikasiya qeydləri. Bu məlumatlar, şirkətin zəif nöqtələrini və ya daxili problemlərini ortaya çıxara bilər.
  • Maliyyə Məlumatları: Bəzi şirkətlərin fakturalaşdırma, büdcə təsdiqi və satınalma proseslərini ServiceNow üzərindən idarə etdiyi məlumdur. Bu sistemlərdən sızdırılan maliyyə qeydləri, birbaşa dələduzluq üçün istifadə edilə bilər.
  • Tətbiq Kodları və API Açar-sözləri: İnkişaf proseslərini ServiceNow-da idarə edən texnologiya şirkətləri üçün ən böyük risklərdən biri. Sızdırılan mənbə kodları və ya bulud xidmətlərinə giriş təmin edən API açarları, zəncirvari fəlakətlərə səbəb ola bilər.

Əgər məlumatlarınızın bu cür bir hadisədə sızdırılıb-sızdırılmadığını maraqlandırırsınızsa, etibarlı bir Məlumat Sızıntısı Sorğusu vasitəsindən istifadə edərək e-poçt ünvanınızı yoxlamaq yaxşı bir başlanğıc ola bilər. Bu, təkcə bu hadisə üçün deyil, ümumi rəqəmsal təhlükəsizliyiniz üçün də vacib bir addımdır.

Hücum Necə Həyata Keçirildi

Texniki detallara nəzər saldıqda, hücumun olduqca mürəkkəb bir üsulla həyata keçirildiyi aydın olur. Hücumçular, ServiceNow-un "Scripted REST APIs" olaraq bilinən bir xüsusiyyətindəki girişə nəzarət siyahısı (ACL - Access Control List) boşluğunu hədəf alıblar. Normal şərtlərdə, bu API-lərin kimlərin daxil ola biləcəyini müəyyən edən sərt qaydalarla qorunması lazımdır. Ancaq, boşluq olan versiyalarda, xüsusi olaraq hazırlanmış bir HTTP sorğusu, bu ACL qaydalarını tamamilə keçə bilirdi.

İşin can alıcı nöqtəsi budur: hücumçuların bu API son nöqtəsinə sorğu göndərmək üçün heç bir autentifikasiya məlumatına ehtiyacı yox idi. Tamamilə anonim və xarici bir sorğu ilə, sistemdə yüksək səlahiyyətlərə malik bir istifadəçi kimi əmrləri icra edə bildilər. Bu əmrlər vasitəsilə əvvəlcə özlərinə gizli bir administrator hesabı yaratdılar. Sonra, bu hesabla daxil olub istədikləri məlumatları xaricə çıxarmaq üçün daimi arxa qapılar (backdoors) qurdular. Hücum, loqlarda normal bir API fəaliyyəti kimi göründüyü üçün uzun müddət fərq edilmədi. Bu "aşağı və yavaş" (low and slow) yanaşması, hücumçuların aylarla aşkarlanmadan fəaliyyət göstərməsinə imkan verdi.

Kimlər Təsirlənib

ServiceNow-un müştəri portfeli Fortune 500 şirkətlərindən dövlət qurumlarına qədər uzanır. Bu səbəbdən təsirlənənlərin profili olduqca müxtəlifdir. Təhlükəsizlik tədqiqatçıları, boşluğun xüsusilə standart konfiqurasiyada buraxılmış və ya köhnə versiyalardan istifadə edən ServiceNow nüsxələrini hədəf aldığını bildirir. Öz xüsusi təhlükəsizlik tənzimləmələrini etməmiş, yeniləmələri vaxtında tətbiq etməmiş şirkətlər ən böyük risk altındadır.

İlkin hesabatlara görə maliyyə, səhiyyə, texnologiya və dövlət sektorundan bir çox qurumun təsirləndiyi təsdiqlənib. Xüsusilə səhiyyə sektorundakı bir şirkətin sızdırılan məlumatları arasında xəstə dəstək sorğularının da ola biləcəyi narahatlığı var. Texnologiya şirkətlərində isə oğurlanan mənbə kodları və infrastruktur məlumatları, daha böyük kiberhücumların xəbərçisi ola bilər. ServiceNow, təsirlənən müştərilərlə birbaşa əlaqə qurmağa başladığını elan etdi, lakin boşluğun təbiəti səbəbindən, kimin sızdırıldığını tam olaraq müəyyən etmək zaman ala bilər.

Nə Edə Bilərsiniz

Əgər bir ServiceNow administratoru və ya bir şirkətin kibertəhlükəsizlik komandasındasınızsa, ümumi tövsiyələrdən daha çoxuna ehtiyacınız var. Budur dərhal atmanız lazım olan addımlar:

  • Yamaq Vəziyyətini Yoxlayın: ServiceNow, bu boşluğu bağlayan təcili bir təhlükəsizlik yeniləməsi yayımladı. Sisteminizin bu yamağı aldığından əmin olun. Əgər almayıbsa, bunu birinci prioritet halına gətirin.
  • Scripted REST API-lərini Yoxlayın: Xüsusilə "Public" olaraq qurulmuş və ya autentifikasiya tələb etməyən bütün Scripted REST API son nöqtələrini nəzərdən keçirin. Həqiqətən ümumi girişə açıq olması lazım olmayan hər şeyi dərhal deaktiv edin və ya səlahiyyət tələb edəcək şəkildə yenidən konfiqurasiya edin.
  • Şübhəli Hesabları Axtarın: Son 3-6 ay ərzində yaradılmış administrator səlahiyyətlərinə malik istifadəçi hesablarını yoxlayın. Naməlum və ya şübhəli görünən bütün hesabları dondurun və mənbəyini araşdırın.
  • Geriyə Dönük Loq Təhlili: Xüsusilə ACL cədvəllərinə və ya Scripted REST API konfiqurasiyalarına edilən giriş loqlarını araşdırın. Gözlənilməz IP ünvanlarından və ya qeyri-adi vaxtlarda edilən girişlər qırmızı bayraq olmalıdır.

Bu addımlar, yalnız mövcud təhdidi aradan qaldırmaqla qalmaz, gələcəkdəki oxşar hücumlara qarşı da sisteminizi daha dayanıqlı edər.

Şirkət Nə Deyir

Hadisənin baş verməsindən sonra ServiceNow bir mətbuat açıqlaması yayımladı. Açıqlamada, "Müəyyən bir konfiqurasiyaya sahib az sayda müştəri nüsxəsini təsir edən bir təhlükəsizlik boşluğundan xəbərdarıq" deyildi. Şirkət, boşluğu aradan qaldırmaq üçün bir yamaq yayımladıqlarını və təsirlənən bütün müştərilərə birbaşa müraciət etdiklərini bildirdi. Açıqlamada həmçinin, müştərilərin platformalarını təhlükəsiz saxlamalarına kömək etmək üçün əlavə təlimat və dəstək təmin etdikləri də vurğulandı. Ancaq, hücumun nə qədər müddətdir davam etdiyi və ya tam olaraq neçə müştərinin təsirləndiyi kimi detallara toxunulmadı.

Mənbə

https://thehackernews.com/2026/06/servicenow-flaw-exploited-to-gain.html

Bu Məqaləni Paylaş
X LinkedIn WhatsApp
← Əvvəlki Yazı Süni İntellekt Köməkçiniz Fişinq Tələsinə Düşdü

Həftəlik Bülten

Hər həftə seçilmiş məlumat pozuntusu xəbərləri gələn qutunuza çatdırılsın.