Jetzt patchen! Angreifer attackieren Now Platform von ServiceNow

Derzeit gibt es Schadcode-Attacken auf Now Platform von ServiceNow. Im Anschluss gilt das System als vollständig kompromittiert und Angreifer erlangen unter anderem Zugriff auf sensible Kundendaten.

Die Cloud Computing Plattform hilft Firmen bei der Digitalisierung, um zu wachsen und beispielsweise Kosten zu senken. Firmen nutzen Now Platform weltweit. Darunter sind Kunden wie Bayer, Coca-Cola und Siemens.

Weitreichende Gefahren

Auf die globalen Attacken weisen Sicherheitsforscher von Rescurity in einem Beitrag hin. Dabei setzen Angreifer an drei Sicherheitslücken (CVE-2024-4879 "kritisch", CVE-2024-5217 "kritisch", CVE-2024-5178 "mittel") an. Die kritischen Schwachstellen sind aus der Ferne ohne Authentifizierung ausnutzbar und es kann Schadcode auf Systeme gelangen. Attacken sind möglich, weil Eingaben nicht ausreichend überprüft werden. Im Zuge der Attacken sollen die Angreifer mit zwei Payloads arbeiten, um unter anderem Zugangsdaten abzugreifen. Weiterführende Details zum Ablauf von Attacken sind bislang nicht verfügbar.

Zum erfolgreichen Ausnutzen der dritten Lücke sind Adminrechte vonnöten. Ist das gegeben, können Angreifer auf sensible Daten zugreifen. Die gegen die Attacken abgesicherte Version listen die Entwickler in drei Warnmeldungen auf (1, 2, 3).

Attacken auch in Deutschland möglich

Die Sicherheitsforscher geben an, dass weltweit rund 300.000 Instanzen öffentlich über das Internet erreichbar sind. Sie weisen darauf hin, dass aber nicht alle zwingend angreifbar sind. Eventuell sind einige schon gepatcht oder Firewalls blockieren Attacken. Die Suchmaschine Shodan kommt maximal auf 23.000 Treffer. Knapp über 600 Instanzen sind in Deutschland.

Die Sicherheitsforscher haben eigenen Angaben zufolge beobachtet, dass es derzeit ein gesteigertes Interesse an den Lücken im Darknet gibt. Der Umfang der Attacken ist zurzeit unklar, es ist aber davon auszugehen, dass sie zunehmen.

(des)