ServiceNow đã vá một lỗ hổng vào ngày 5/6, lỗ hổng này đã cho phép truy cập trái phép vào dữ liệu khách hàng kể từ ít nhất tháng 4, khiến các hồ sơ doanh nghiệp nhạy cảm có nguy cơ bị đánh cắp.
Quay lại
Lỗ hổng ServiceNow làm lộ dữ liệu khách hàng trong 2 tháng trước khi được vá
ServiceNow đã vá một lỗ hổng vào ngày 5/6, lỗ hổng này đã cho phép truy cập trái phép vào dữ liệu khách hàng kể từ ít nhất tháng 4, khiến các hồ sơ doanh nghiệp nhạy cảm có nguy cơ bị đánh cắp.
ServiceNow đã vá một lỗ hổng vào ngày 5/6, cho phép tin tặc không cần xác thực truy vấn dữ liệu phiên bản của khách hàng, làm lộ các ticket hỗ trợ CNTT và hồ sơ nhân viên được lưu trữ trên nền tảng đám mây được hàng nghìn doanh nghiệp sử dụng.
"Bản cập nhật liên quan đến một vấn đề bảo mật có thể cho phép người dùng không được xác thực, trong một số trường hợp nhất định, có quyền truy cập vào các phiên bản ServiceNow rộng hơn so với dự kiến," công ty cho biết trong một thông báo hỗ trợ được gửi tới các khách hàng bị ảnh hưởng.
Lỗ hổng liên quan đến một điểm cuối REST tại /api/now/related_list_edit/create được cấu hình với requires_authentication=false, theo các quản trị viên trên Reddit. ServiceNow đã phát hiện hoạt động bất thường và ghi nhận các truy vấn thành công tới các bảng phiên bản của một nhóm nhỏ khách hàng. Công ty đã mở các vụ hỗ trợ với các tổ chức bị ảnh hưởng.
ServiceNow, được giao dịch ở mức gấp khoảng 18 lần thu nhập dự phóng, lưu trữ dữ liệu doanh nghiệp nhạy cảm bao gồm thông tin đăng nhập, mã thông báo API và tài liệu nội bộ trong các ticket hỗ trợ của mình. Sự cố này có thể làm xói mòn niềm tin vào một nền tảng được sử dụng bởi nhiều công ty, bao gồm nhiều doanh nghiệp trong danh sách Fortune 500, để tự động hóa các quy trình làm việc CNTT, nhân sự và dịch vụ khách hàng.
Lỗ hổng chủ yếu ảnh hưởng đến các khách hàng trên bản phát hành nền tảng Australia của ServiceNow hoặc những người dùng phiên bản cũ hơn đã thực hiện một số thay đổi cấu hình nhất định. Các nhà phòng thủ mạng đã xác định một địa chỉ IP — 51.159.98.241 — là dấu hiệu xâm nhập và yêu cầu các quản trị viên xem xét nhật ký để tìm các yêu cầu tới điểm cuối dễ bị tấn công.
Một người dùng Reddit có tên "d3s7iny" tuyên bố nhóm bảo mật của họ đã báo cáo lỗ hổng cho ServiceNow và công ty đã biết về vấn đề này từ ngày 7/4. Trong khoảng hai tháng, ServiceNow đã phân loại đây là vấn đề không khẩn cấp, dự định khắc phục trong bản cập nhật trong tương lai trước khi phát hiện ra hành vi khai thác.
Sự cố này làm nổi bật rủi ro tập trung trong các nền tảng SaaS doanh nghiệp. Đám mây của ServiceNow xử lý quản lý dịch vụ CNTT, hệ thống nhân sự và quy trình làm việc dịch vụ khách hàng. Các ticket hỗ trợ thường chứa mật khẩu, khóa mã hóa và bí mật xác thực được chia sẻ trong quá trình khắc phục sự cố — khiến chúng ngày càng trở thành mục tiêu phổ biến của các tác nhân đe dọa, như đã thấy trong các cuộc tấn công gần đây vào nền tảng Drift của Salesforce.
ServiceNow đang xem xét liệu có gán mã CVE cho lỗ hổng này hay không. Công ty chưa tiết lộ có bao nhiêu khách hàng bị ảnh hưởng, dữ liệu cụ thể nào đã bị truy cập hoặc ai có thể đứng sau các nỗ lực khai thác. Các quản trị viên được khuyến nghị xem xét nhật ký để tìm các yêu cầu tới điểm cuối dễ bị tấn công và xoay vòng bất kỳ thông tin đăng nhập nào đã được chia sẻ qua các quy trình hỗ trợ.
Bài viết này chỉ mang tính chất tham khảo và không cấu thành lời khuyên đầu tư.
[1] ServiceNow thông báo với khách hàng rằng lỗi đã khiến một số dữ liệu của họ bị lộ ra internet[2] ServiceNow tiết lộ sự cố bảo mật làm lộ dữ liệu khách hàng[3] Lỗ hổng ServiceNow bị khai thác để truy cập trái phép vào các phiên bản khách hàng[4] ServiceNow vá lỗ hổng bị khai thác nhắm vào một số khách hàng
