ServiceNow dicht lek na ongeautoriseerde toegang tot klantomgevingen

In dit artikel:

ServiceNow meldt een beveiligingsincident waarbij aanvallers onder bepaalde omstandigheden ongeauthenticeerd gegevens uit klantomgevingen konden opvragen. Het probleem werd teruggevoerd op een foutieve API-configuratie; naar aanleiding daarvan voerde het bedrijf op 5 juni een aanpassing door zodat het betreffende API-eindpunt voortaan alleen nog toegankelijk is voor geauthenticeerde gebruikers. ServiceNow bevestigt dat de zwakte daadwerkelijk is misbruikt, maar geeft nog niet vrij welke gegevens exact zijn ingezien.

Vooral klanten die de Australia-release gebruiken en sommige oudere platformversies met specifieke configuratiewijzigingen liepen risico. Het bedrijf heeft rechtstreeks contact opgenomen met organisaties waarvan is vastgesteld dat ze getroffen zijn; klanten zonder bericht hoeven er voorlopig niet van uit te gaan dat hun omgeving is geraakt. In beheerderskringen wordt gespeculeerd dat het om een REST-endpoint ging waarvoor authenticatie mogelijk uitgeschakeld stond. Ook duiden aanwijzingen op activiteit vanaf één specifiek IP-adres, en beheerders worden aangespoord logs te controleren op verdachte verzoeken.

ServiceNow onderzoekt nog of er een CVE-aanvraag volgt. Ondertussen adviseert het bedrijf beheerders om logbestanden te analyseren, mogelijke blootgestelde informatie te beoordelen en waar nodig gedeelde wachtwoorden, tokens en API-sleutels te vervangen. Het incident benadrukt hoe waardevol IT-servicemanagementplatformen voor aanvallers kunnen zijn, omdat supporttickets en beheergegevens vaak gevoelige toegangsinformatie en operationele details bevatten die voor vervolgaanvallen kunnen worden misbruikt.