重大层级ServiceNow漏洞已被用于攻击行动,黑客恐借此窃取帐密数据
支付動態 · 2024-07-26
资安业者Resecurity针对ServiceNow本月修补的输入验证漏洞CVE-2024-4879提出警告,并指出黑客还会串连另外两个漏洞,截取系统数据库的内容
从产业类别看来,能源产业、数据中心、中东政府组织、软件开发业者是对方偏好的攻击目标。
值得留意的是,CVE-2024-4879、CVE-2024-5217本身就已经相当严重,CVSS风险评分皆达到9.8分,一旦遭到利用,攻击者就有机会远程运行任意代码(RCE)。
研究人员指出,上述3项漏洞黑客最积极利用的是CVE-2024-4879,根据他们的探测,攻击者在试图利用漏洞前,会确认受害主机是否曝露有关风险,然后注入有效酬载,用来确认特定乘法算式的结果来进行回应。
接着,对方植入第二阶段恶意程序,来检查能否存取数据库的内容。一旦成功利用漏洞,受害主机就会回传数据库的有详细信息。最终,黑客将能转储用户的名单,并从受害主机外流用户名单,以及受害主机的中继数据,而有可能导致帐密数据外流。
根据研究人员的分析,虽然大部分的数据都通过复杂的散列算法处理,而并未被黑客利用,但他们认为,少部分曝光的数据就可能有助于黑客从事侦察。
热门文章
巴西拟将博彩税率提高至24% 税收将用于社保和医疗领域
游戏风向
PropellerAds 分享了新的 iGaming 案例研究:在 3 个月实现 97,674 次安装和 12,701 笔存款
广告营销
准备好了将你的收益最大化吗?尝试ProPush.me Constructor!
广告营销
超级PAC筹资4800万美元:体育博彩势力加码
游戏风向
JILI 宣布与全球板球传奇 AB de Villiers(ABD)达成重磅战略合作
体育游戏
越南博彩管控逐步放宽,惟本土需求仍显乏力
东南亚资讯
斯里兰卡博弈产业大转型,官方:剑指南亚拉斯维加斯
游戏风向
灰度世界杯嘉年华狂欢派对吉隆坡站即将开启,业务拓展人脉社交从马来西亚开始
灰度头条
菲律宾博彩技术赛道迎来新变局,B2B 供应模式加速渗透
东南亚资讯
越南在线博彩业政策收紧 催生市场新机遇
东南亚资讯
GGC Awards 2026 璀璨科伦坡:致敬 iGaming 行业的领航者与创新力量
灰度头条
英国确认各垂直行业的赌博税税率
游戏风向
亚洲游戏市场观察:15大市场热门游戏与用户趋势
线上游戏
横跨全球6个城市,灰度8场派对邀你共看世界杯,重塑高质量社交新场景
灰度头条
密西西比州众议院委员会推进提议增加赌场税的法案
游戏风向
