보안 연구원들이 이번 주에 경고한 바에 따르면 해커들은 미 패치된 기업 인스턴스에 침입하기 위해 1년 된 ServiceNow 취약성을 악용하기 위한 시도를 증가시키고 있습니다.
위협 인텔리전스 스타트업인 GreyNoise는 화요일 블로그 포스트에서 CVE-2024-4879, CVE-2024-5178 및 CVE-2024-5217로 추적되는 세 가지 ServiceNow 취약성을 타겟팅하는 '야생에서의 활동의 현저한 재발을' 관측했다고 밝혔습니다.
취약성은 Assetnote의 연구원들이 2024년 5월 14일에 최초로 공개했으며, 동일한 날 ServiceNow가 패치했으며, ServiceNow 대변인인 Erica Faltous는 TechCrunch에 전했습니다. 버그의 자세한 내용은 이후 2024년 7월에 공개되었습니다.
GreyNoise는 지난 주 이후 세 취약성 모두 타겟팅 악용시도의 재발을 관측했다고 밝혔습니다. 이번 최신 타겟팅에 대한 책임자는 정확히 알려지지 않았지만, GreyNoise는 과거 일주일 동안 관측한 악성 활동의 70%가 이스라엘에 기반을 둔 시스템을 타겟팅했으며, 독일, 일본 및 리투아니아에서도 활동이 관측되었다고 전했습니다.
GreyNoise가 지난 해 최초로 지적한 것처럼, 취약성은 영향을 받는 ServiceNow 인스턴스의 '전체 데이터베이스 액세스'를 위해 연결될 수 있다고 확인했습니다. 기관들은 종종 직원들에 대한 민감한 데이터, 개인 식별 가능한 정보 및 고용 관련 인사 기록을 호스팅하기 위해 ServiceNow 플랫폼을 사용합니다.
ServiceNow는 "거의 1년 전에" 취약성에 대해 처음 알게 되었으며, "오늘까지 우리는 어떤 고객이 공격 캠페인으로 인한 영향을 관측하지 못했습니다."라고 TechCrunch에 전했습니다.
Assetnote가 지난해 취약성을 공개한 후, 미국 보안 업체 Resecurity는 외부 위협 요인이 전 세계의 민간 기업 및 정부 기관을 타겟팅하기 위해 세 가지 ServiceNow 취약성을 악용하려고 시도했다고 경고했습니다.
Resecurity는 에너지 회사, 데이터 센터 기관, 중동 정부 기관 및 소프트웨어 개발 업체를 타겟팅한 시도를 보았다고 전했습니다.
사이버 보안 기업 Imperva는 2024년 7월에 발표한 보고서에서 금융 서비스 부문에 중점을 두고 다양한 산업군 거점인 6,000 개 사이트에서 악용 시도를 관측했다고 경고했습니다.
세 번째 단락을 수정하여 Assetnote의 공개 이후 ServiceNow가 동일한 날에 패치를 발행했음을 언급하십시오.
