Hackers explotan vulnerabilidades antiguas en sistemas ServiceNow

70% de los ataques recientes se dirigieron a sistemas en Israel. Ciberdelincuentes aprovechan tres fallos de seguridad no parcheados, revelados en 2024, para acceder a bases de datos sensibles. GreyNoise alertó del repunte de actividad maliciosa esta semana.

«Resurgimiento notable» de ataques a plataformas vulnerables

La startup de inteligencia GreyNoise detectó intentos de explotación masiva de tres vulnerabilidades en ServiceNow (CVE-2024-4879, CVE-2024-5178 y CVE-2024-5217). «Pueden combinarse para obtener acceso completo a la base de datos», advirtió. Los fallos fueron parcheados en mayo de 2024, pero muchos sistemas siguen sin actualizarse.

Objetivos principales y datos comprometidos

Según GreyNoise, Israel concentra el 70% de los ataques, seguido de Alemania, Japón y Lituania. ServiceNow aloja información sensible como datos personales de empleados y registros de RRHH. Pese a ello, la empresa asegura que no hay evidencias de impactos a clientes.

Antecedentes de explotación global

En 2024, Resecurity ya alertó de intentos contra empresas energéticas, agencias gubernamentales y desarrolladores de software. Imperva documentó después 6.000 intentos de ataque, especialmente en servicios financieros.

Un problema con casi un año de historia

Las vulnerabilidades fueron descubiertas por Assetnote en mayo de 2024 y parcheadas ese mismo día por ServiceNow. Sin embargo, su divulgación pública en julio facilitó su explotación persistente.

Vigilancia reforzada en sectores críticos

El resurgimiento de estos ataques subraya el riesgo de no actualizar sistemas, pese a los parches disponibles. Afecta principalmente a organizaciones que gestionan datos confidenciales, aunque ServiceNow insiste en que no se han reportado brechas exitosas.