Уязвимость в ServiceNow активно используется злоумышленниками – Veri Sızıntısı
Live
Поиск
Компания
О нас Слово основателя Пресса и СМИ Политика конфиденциальности Условия использования FAQ Пресс-кит
Продукты
HUBOne HUBCorp Скоро Veri Sızıntısı Android Скоро Veri Sızıntısı iOS Скоро Veri Sızıntısı Huawei Скоро Breach Radar Argus Flow Argus Engine LivePlatform
Технологии
Что такое Argus AI? Попробовать в HUBOne Что такое Argus Flow? Что такое Argus Engine?
Блог Контакты

Уязвимость ServiceNow используется для кражи данных

Мир кибербезопасности взбудоражен новостями об уязвимости в ServiceNow, гиганте корпоративных облачных вычислений, которая активно эксплуатируется. Неизвестные злоумышленники использовали эту уязвимость для получения несанкционированного доступа к многочисленным клиентским инстансам.

Логотип ServiceNow с предупреждающим знаком, символизирующий уязвимость кибербезопасности и утечку данных.

Что произошло

Платформа ServiceNow, ставшая основой корпоративного мира, оказалась в центре одного из самых обсуждаемых инцидентов кибербезопасности последнего времени. Группа киберзлоумышленников, используя уязвимость, получившую название "InstanceJacker", в одном из ключевых компонентов платформы, сумела проникнуть в десятки, а возможно, и сотни клиентских экземпляров (инстансов), в том числе принадлежащих крупным корпорациям. Инцидент был обнаружен не собственной командой безопасности ServiceNow, а благодаря предупреждению от сторонней фирмы по кибербезопасности, заметившей подозрительную активность в системах нескольких своих клиентов. Этот факт сам по себе свидетельствует о том, насколько тихо и глубоко развивалась атака.

Предполагается, что злоумышленники активно эксплуатировали эту уязвимость как минимум последние три месяца. В течение этого времени они проникали в эти цифровые крепости, где хранятся самые конфиденциальные операционные данные компаний. ServiceNow предоставляет тысячам крупных компаний по всему миру услуги по управлению ИТ-услугами (ITSM), управлению ИТ-операциями (ITOM) и автоматизации бизнес-процессов. Следовательно, проникновение в систему клиента может означать получение доступа ко всей внутренней работе компании, информации о сотрудниках, финансовым отчетам и даже коммерческим тайнам. На данный момент точное количество пострадавших компаний остается неясным, но первоначальные отчеты указывают на то, что последствия могут быть широкомасштабными.

Какие данные были скомпрометированы

Тип данных, к которым получили доступ злоумышленники, подчеркивает серьезность инцидента. По предварительным данным, хотя скомпрометированные данные варьируются в зависимости от того, как каждая компания использует ServiceNow, общие категории вызывают серьезное беспокойство. Вот некоторые из типов данных, которые, как предполагается, были скомпрометированы:

Ваш email в утечке? Проверьте бесплатно — результат за секунды.

Проверить →
  • Персональные данные (PII): Имена сотрудников, адреса электронной почты, номера телефонов, информация об отделах и, в некоторых случаях, даже домашние адреса. Эта информация — настоящий золотой рудник для фишинговых атак.
  • Информация об ИТ-активах и конфигурации: Данные о серверах компаний, IP-адреса, перечни программного обеспечения и топологии сетей. Это предоставляет злоумышленникам дорожную карту для планирования более масштабных атак.
  • Внутренняя переписка и заявки в службу поддержки: Заявки (тикеты), созданные сотрудниками, отчеты об инцидентах и записи о межведомственном общении. Эти данные могут раскрыть слабые места компании или внутренние проблемы.
  • Финансовые данные: Известно, что некоторые компании управляют процессами выставления счетов, утверждения бюджетов и закупок через ServiceNow. Финансовые записи, утекшие из этих систем, могут быть использованы для прямого мошенничества.
  • Код приложений и ключи API: Это один из самых больших рисков для технологических компаний, управляющих своими процессами разработки в ServiceNow. Утечка исходного кода или ключей API, предоставляющих доступ к облачным сервисам, может привести к цепной реакции катастрофических событий.

Если вы беспокоитесь о том, не утекли ли ваши данные в результате подобного инцидента, хорошим началом будет проверка вашего адреса электронной почты с помощью надежного инструмента для поиска утечки данных. Это важный шаг не только в связи с этим инцидентом, но и для вашей общей цифровой безопасности.

Как произошла атака

При углублении в технические детали становится ясно, что атака была проведена с использованием довольно сложного метода. Злоумышленники нацелились на уязвимость в контроле доступа (ACL) в функции, известной как "Scripted REST APIs". В обычных условиях эти API должны быть защищены строгими правилами, определяющими, кто может к ним обращаться. Однако в уязвимых версиях специально созданный HTTP-запрос мог полностью обойти эти правила ACL.

Вот в чем суть: злоумышленникам не требовались никакие учетные данные для отправки запроса к этой конечной точке API. С помощью полностью анонимного внешнего запроса они могли выполнять команды так, как если бы они были пользователем с высокими привилегиями в системе. Сначала они использовали эти команды для создания себе скрытой учетной записи администратора. Затем, используя эту учетную запись, они входили в систему и устанавливали постоянные бэкдоры для вывода любых данных, которые им были нужны. Атака долгое время оставалась незамеченной, так как в логах она выглядела как обычная активность API. Этот подход "low and slow" (низко и медленно) позволил злоумышленникам действовать незамеченными в течение нескольких месяцев.

Кто пострадал

Клиентская база ServiceNow варьируется от компаний из списка Fortune 500 до государственных учреждений, поэтому профиль пострадавших весьма разнообразен. Исследователи безопасности указывают, что уязвимость в основном нацелена на инстансы ServiceNow, оставленные в конфигурации по умолчанию или работающие на старых версиях. Компании, которые не настроили свои собственные параметры безопасности или не применяли обновления своевременно, подвергаются наибольшему риску.

Первоначальные отчеты подтвердили, что пострадали многие организации из финансового, медицинского, технологического и государственного секторов. Особую озабоченность вызывает то, что среди утекших данных медицинской компании могут быть запросы на поддержку пациентов. Для технологических компаний украденный исходный код и информация об инфраструктуре могут быть предвестниками еще более крупных кибератак. ServiceNow объявила, что начала напрямую связываться с пострадавшими клиентами, но из-за природы уязвимости может потребоваться время, чтобы полностью идентифицировать всех, кто был скомпрометирован.

Что вы можете сделать

Если вы являетесь администратором ServiceNow или частью команды по кибербезопасности компании, вам нужно больше, чем общие советы. Вот немедленные шаги, которые вы должны предпринять:

  • Проверьте статус исправлений: ServiceNow выпустила экстренное обновление безопасности для устранения этой уязвимости. Убедитесь, что ваш инстанс получил это исправление. Если нет, сделайте это своим главным приоритетом.
  • Проведите аудит Scripted REST APIs: Пересмотрите все конечные точки Scripted REST API, особенно те, которые установлены как "Public" или не требуют аутентификации. Немедленно отключите или перенастройте все, что не требует абсолютно публичного доступа, чтобы требовать авторизацию.
  • Ищите подозрительные учетные записи: Тщательно проверьте учетные записи пользователей с административными привилегиями, созданные за последние 3-6 месяцев. Заморозьте все неизвестные или подозрительные учетные записи и расследуйте их происхождение.
  • Проведите ретроспективный анализ логов: Изучите логи доступа, особенно к таблицам ACL или конфигурациям Scripted REST API. Доступ с неожиданных IP-адресов или в необычное время должен стать тревожным сигналом.

Эти шаги помогут не только нейтрализовать текущую угрозу, но и сделают вашу систему более устойчивой к подобным атакам в будущем.

Что говорит компания

После того, как инцидент стал достоянием общественности, ServiceNow выпустила пресс-релиз. В заявлении говорилось: "Нам известно об уязвимости, которая затрагивает небольшое количество клиентских инстансов с определенной конфигурацией". Компания заявила, что выпустила исправление для устранения уязвимости и напрямую связалась со всеми пострадавшими клиентами. В заявлении также подчеркивалось, что они предоставляют дополнительные рекомендации и поддержку, чтобы помочь клиентам обеспечить безопасность своих платформ. Однако в нем не уточнялось, как долго продолжалась атака или точное количество пострадавших клиентов.

Источник

https://thehackernews.com/2026/06/servicenow-flaw-exploited-to-gain.html

Поделиться статьёй
X LinkedIn WhatsApp
← Предыдущая статья Ваш ИИ-ассистент попался на фишинговую уловку

Еженедельная рассылка

Отборные новости об утечках данных каждую неделю в вашем почтовом ящике.