企業雲端工作流程平臺業者ServiceNow傳出安全事件。Bleeping Computer於6月9日報導,ServiceNow已通知受影響客戶,攻擊者濫用一項安全漏洞,可讓未經身分驗證的使用者在特定情況下,取得超出範圍的ServiceNow執行個體存取權限,並透過組態不良的API端點,查詢部分客戶執行個體的資料表。
根據Reddit使用者轉貼的ServiceNow客戶支援公告內容,ServiceNow已於6月5日對代管客戶執行個體套用安全更新,將相關API端點設定改為僅允許通過身分驗證的使用者存取。該公司表示,已在部分客戶環境觀察到執行個體資料表遭成功查詢的證據。這項問題主要影響使用Australia發行版本的客戶,或是使用Australia之前版本、且曾對執行個體做過特定設定變更的客戶。ServiceNow目前尚未公開完整技術細節,也仍在評估是否發布CVE。
BleepingComputer引述Reddit上ServiceNow管理員討論指出,這項問題疑似與「/api/now/related_list_edit/create」這個REST端點有關,有留言者聲稱該端點原本設定為requires_authentication = false,可能讓未經身分驗證的請求存取執行個體資料。可疑活動指標包含來自IP位址51.159.98.241、針對「/api/now/related_list_edit」路徑的API請求。
由於ServiceNow執行個體通常可能存放IT支援票單、員工紀錄、內部文件、資產清單、安全事件報告與企業系統設定等敏感資訊,受影響組織應檢查相關記錄,盤點可能暴露的資料,並輪替曾出現在支援流程中的憑證、API權杖,以及更新相關機密資訊。
