Un bug de ServiceNow a exposé les données clients pendant 2 mois avant la correction

ServiceNow a corrigé le 5 juin une vulnérabilité qui permettait un accès non authentifié aux données clients depuis au moins avril, exposant des enregistrements sensibles d'entreprises à un vol potentiel.

ServiceNow a corrigé le 5 juin une vulnérabilité qui permettait à des attaquants non authentifiés d'interroger les données d'instances clients, exposant les tickets d'assistance informatique et les dossiers des employés stockés sur la plateforme cloud utilisée par des milliers d'entreprises.

« La mise à jour concernait un problème de sécurité qui pouvait permettre à un utilisateur non authentifié, dans certaines circonstances, d'obtenir un accès plus large aux instances ServiceNow que prévu », a déclaré l'entreprise dans un bulletin d'assistance communiqué aux clients concernés.

La faille impliquait un point d'accès REST à l'adresse /api/now/related_list_edit/create configuré avec requires_authentication=false, selon des administrateurs sur Reddit. ServiceNow a détecté une activité anormale et observé des requêtes réussies sur des tables d'instances concernant un sous-ensemble de clients. L'entreprise a ouvert des dossiers d'assistance auprès des organisations impactées.

ServiceNow, dont le titre se négocie à environ 18 fois les bénéfices à terme, stocke des données d'entreprise sensibles — y compris des identifiants, des jetons API et de la documentation interne — dans ses tickets d'assistance. Cet incident pourrait éroder la confiance dans une plateforme utilisée par des entreprises, dont de nombreuses sociétés du Fortune 500, pour automatiser les flux de travail IT, RH et de service client.

La vulnérabilité a principalement affecté les clients utilisant la version australienne de la plateforme ServiceNow ou ceux utilisant des versions plus anciennes ayant effectué certaines modifications de configuration. Les défenseurs réseau ont identifié une adresse IP — 51.159.98.241 — comme indicateur de compromission et ont exhorté les administrateurs à examiner les logs pour détecter des requêtes vers le point d'accès vulnérable.

Un utilisateur Reddit nommé « d3s7iny » a affirmé que son équipe de sécurité avait signalé la vulnérabilité à ServiceNow et que l'entreprise était au courant du problème en interne depuis le 7 avril. Pendant environ deux mois, ServiceNow l'a classé comme non urgent, prévoyant de le corriger dans une future mise à jour avant que l'exploitation ne soit détectée.

Cet incident met en lumière la concentration des risques sur les plateformes SaaS d'entreprise. Le cloud de ServiceNow gère la gestion des services informatiques, les systèmes RH et les flux de travail du service client. Les tickets d'assistance contiennent fréquemment des mots de passe, des clés de chiffrement et des secrets d'authentification échangés lors du dépannage — ce qui en fait une cible de plus en plus prisée des acteurs malveillants, comme l'ont montré les récentes attaques contre la plateforme Drift de Salesforce.

ServiceNow évalue actuellement s'il convient d'attribuer un CVE à cette vulnérabilité. L'entreprise n'a pas divulgué le nombre de clients concernés, les données spécifiques ayant été consultées, ni l'identité potentielle des auteurs des tentatives d'exploitation. Il est conseillé aux administrateurs d'examiner les logs pour détecter des requêtes vers le point d'accès vulnérable et de renouveler les identifiants partagés via les flux de travail d'assistance.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil en investissement.