ServiceNow 於 6 月 5 日修補了一個漏洞,該漏洞自 4 月起即允許未經授權存取客戶資料,導致敏感的企業記錄面臨被竊取的風險。
返回
ServiceNow 漏洞導致客戶資料外洩長達兩個月,修補程式才姍姍來遲
ServiceNow 於 6 月 5 日修補了一個漏洞,該漏洞自 4 月起即允許未經授權存取客戶資料,導致敏感的企業記錄面臨被竊取的風險。
ServiceNow 於 6 月 5 日修補了一個漏洞,該漏洞讓未經授權的攻擊者能夠查詢客戶實例資料,暴露了數千家企業所使用的雲端平台上儲存的 IT 支援票證與員工記錄。
該公司在提供給受影響客戶的支援公告中表示:「此更新涉及一個安全問題,在某些情況下,可能讓未經授權的使用者獲得比預期更高的 ServiceNow 實例存取權限。」
根據 Reddit 上的系統管理員指出,該漏洞涉及一個位於 /api/now/related_list_edit/create 的 REST 端點,其配置為 requires_authentication=false。ServiceNow 偵測到異常活動,並觀察到針對部分客戶的實例資料表成功遭到查詢。該公司已針對受影響的組織開立支援案件。
ServiceNow 的股價約為預期盈餘的 18 倍,其支援票證中儲存了包括憑證、API 權杖與內部文件在內的敏感企業資料。此事件可能削弱客戶對該平台的信任;ServiceNow 被包括眾多財星五百大企業在內的公司廣泛用於自動化 IT、人力資源與客戶服務工作流程。
該漏洞主要影響使用 ServiceNow 澳洲平台版本的客戶,或是在較舊版本上進行特定配置變更的客戶。網路防禦人員已將一個 IP 位址——51.159.98.241——識別為入侵指標,並呼籲系統管理員檢查日誌中是否有針對此漏洞端點的請求。
一位名為「d3s7iny」的 Reddit 用戶聲稱,其安全團隊已向 ServiceNow 通報此漏洞,且該公司自 4 月 7 日起就已內部知悉此問題。在長達約兩個月的時間裡,ServiceNow 將其歸類為非緊急問題,計劃在未來更新中修復,直到漏洞遭實際利用才被發現。
此事件凸顯了企業 SaaS 平台中風險集中的問題。ServiceNow 的雲端平台負責處理 IT 服務管理、人力資源系統與客戶服務工作流程。支援票證中經常包含在故障排除過程中共享的密碼、加密金鑰與驗證機密——這使其成為威脅行為者日益青睞的攻擊目標,正如近期針對 Salesforce 旗下 Drift 平台的攻擊所顯示。
ServiceNow 正在評估是否為此漏洞指派 CVE 編號。該公司尚未公布受影響的客戶數量、哪些具體資料遭到存取,或是攻擊行動背後的發動者。建議系統管理員檢查針對該漏洞端點的請求日誌,並輪換所有透過支援工作流程共享的憑證。
本文僅供參考,不構成投資建議。
