ServiceNow, 5 Haziran'da, en az Nisan ayından bu yana kimliği doğrulanmamış erişime izin veren bir güvenlik açığını yamalayarak hassas kurumsal kayıtları potansiyel hırsızlığa karşı koruma altına aldı.
Geri
ServiceNow hatası, müşteri verilerini yamalanmadan önce 2 ay boyunca açıkta bıraktı
ServiceNow, 5 Haziran'da, en az Nisan ayından bu yana kimliği doğrulanmamış erişime izin veren bir güvenlik açığını yamalayarak hassas kurumsal kayıtları potansiyel hırsızlığa karşı koruma altına aldı.
ServiceNow, 5 Haziran'da kimliği doğrulanmamış saldırganların müşteri örneklem verilerini sorgulamasına izin veren bir güvenlik açığını yamaladı. Bu açık, binlerce kuruluş tarafından kullanılan bulut platformunda depolanan BT destek biletlerini ve çalışan kayıtlarını ifşa etti.
Şirket, etkilenen müşterilerle paylaştığı bir destek bülteninde, "Güncelleme, belirli durumlarda kimliği doğrulanmamış bir kullanıcının ServiceNow örneklemlerine amaçlanandan daha fazla erişim kazanmasına izin verebilecek bir güvenlik sorunuyla ilgiliydi" dedi.
Reddit'teki yöneticilere göre kusur, requires_authentication=false olarak yapılandırılmış /api/now/related_list_edit/create adresindeki bir REST uç noktasını içeriyordu. ServiceNow anormal aktivite tespit etti ve müşterilerin bir alt kümesine karşı örneklem tablolarının başarılı sorgularını gözlemledi. Şirket, etkilenen kuruluşlarla destek vakaları açtı.
İleriye dönük kazancının yaklaşık 18 katından işlem gören ServiceNow, destek biletlerinde kimlik bilgileri, API token'ları ve dahili dokümantasyon dahil olmak üzere hassas kurumsal veriler depoluyor. Bu olay, Fortune 500 şirketlerinin çoğu da dahil olmak üzere birçok şirket tarafından BT, İK ve müşteri hizmetleri iş akışlarını otomatikleştirmek için kullanılan platforma olan güveni zedeleyebilir.
Güvenlik açığı öncelikle ServiceNow'un Avustralya platformu sürümündeki müşterileri veya belirli yapılandırma değişiklikleri yapan eski sürümlerdeki müşterileri etkiledi. Ağ savunucuları, 51.159.98.241 IP adresini bir tehlike göstergesi olarak tanımladı ve yöneticileri, güvenlik açığı bulunan uç noktaya yapılan istekler için günlükleri incelemeye çağırdı.
"d3s7iny" kullanıcı adlı bir Reddit kullanıcısı, güvenlik ekiplerinin güvenlik açığını ServiceNow'a bildirdiğini ve şirketin sorunu dahili olarak 7 Nisan'dan beri bildiğini iddia etti. Yaklaşık iki ay boyunca ServiceNow, istismar tespit edilmeden önce sorunu acil olmayan olarak sınıflandırdı ve gelecekteki bir güncellemede düzeltmeyi planladı.
Olay, kurumsal SaaS platformlarındaki risk yoğunlaşmasını gözler önüne seriyor. ServiceNow'ın bulutu, BT hizmet yönetimi, İK sistemleri ve müşteri hizmetleri iş akışlarını yönetiyor. Destek biletleri, sorun giderme sırasında paylaşılan parolalar, şifreleme anahtarları ve kimlik doğrulama sırlarını sıklıkla içeriyor — bu da onları, Salesforce'un Drift platformuna yönelik son saldırılarda görüldüğü gibi, tehdit aktörleri için giderek daha popüler bir hedef haline getiriyor.
ServiceNow, güvenlik açığına bir CVE atanmasını değerlendiriyor. Şirket, kaç müşterinin etkilendiğini, hangi belirli verilere erişildiğini veya istismar girişimlerinin arkasında kimin olabileceğini açıklamadı. Yöneticilere, güvenlik açığı bulunan uç noktaya yapılan istekler için günlükleri incelemeleri ve destek iş akışları aracılığıyla paylaşılan tüm kimlik bilgilerini döndürmeleri tavsiye ediliyor.
Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi niteliği taşımamaktadır.
[1] ServiceNow müşterilere bir hatanın verilerinin bir kısmını internete açıkta bıraktığını söyledi[2] ServiceNow müşteri verilerini ifşa eden güvenlik olayını açıkladı[3] ServiceNow Kusuru, Müşteri Örneklemlerine Yetkisiz Erişim İçin İstismar Edildi[4] ServiceNow, Bazı Müşterilere Karşı İstismar Edilen Güvenlik Açığını Yamaladı
