Peste 1.000 de instanțe enterprise ServiceNow configurate incorect au fost găsite expunând articole din Baza de Cunoștințe (KB) care conțineau informații sensibile despre companie către utilizatori externi și potențiali actori de amenințare.
Informațiile expuse includ informații de identificare personală (PII), detalii interne ale sistemului, date de autentificare ale utilizatorilor, tokenuri de acces pentru sistemele de producție live și alte informații esențiale în funcție de subiectul Bazei de Cunoștințe.
Aaron Costello, șeful cercetării de securitate SaaS la AppOmni, a descoperit peste o mie de instanțe online ServiceNow care expun neintenționat informațiile companiei din cauza problemelor de configurare.
Aceasta rămâne o problemă semnificativă în ciuda actualizărilor ServiceNow din 2023, care au vizat în mod explicit îmbunătățirea Listelor de Control al Accesului (ACL-uri), dar care nu s-au aplicat la KB-uri.
ServiceNow este o platformă software bazată pe cloud pe care organizațiile o folosesc pentru a gestiona fluxurile de lucru digitale din diferite departamente și procese.
Este o soluție completă care include servicii IT și managementul operațiunilor IT, sarcini de resurse umane, managementul serviciilor pentru clienți, integrarea uneltelor de securitate și o bază de cunoștințe.
Funcționalitatea bazei de cunoștințe acționează ca un depozit de articole în care organizațiile pot împărtăși ghiduri practice, Întrebări Frecvente și alte proceduri interne pentru utilizatorii autorizați să le vizualizeze. Cu toate acestea, deoarece multe dintre aceste articole nu sunt destinate să fie văzute public, ele pot conține informații sensibile despre o organizație.
După un raport din 2023 realizat de Costello privind expunerea datelor ServiceNow, compania a lansat o actualizare de securitate care a introdus noi ACL-uri pentru a preveni accesul neautentificat la datele clienților. Cu toate acestea, AppOmni spune că majoritatea KB-urilor ServiceNow utilizează sistemul de permisiuni User Criteria în loc de ACL-uri, făcând actualizarea mai puțin utilă.
Mai mult, unele widgeturi vizibile public care expun informații despre clienți nu au primit actualizarea ACL din 2023 și continuă să permită accesul neautentificat.
Din cauza acestui fapt, Costello spune că controalele de acces configurate greșit pe widgeturile ServiceNow vizibile public pot fi încă folosite pentru a interoga datele din KB-uri fără a necesita nicio autentificare.
„Aceste instanțe erau considerate de organizațiile afectate a fi sensibile ca natură, cum ar fi PII, detalii interne ale sistemului și acreditive / tokenuri active către sistemele de producție live,” spune AppOmni într-un raport nou publicat astăzi.
Folosind instrumente precum Burp Suite, un actor malefic poate trimite un număr mare de cereri HTTP către un punct final vulnerabil pentru a forța bruta numărul articolului KB.
Cercetătorii explică că ID-urile articolelor din Baza de Cunoștințe sunt incrementale în formatul KBXXXXXXX, deci un actor de amenințare poate forța bruta o instanță ServiceNow incrementând numărul KB începând de la KB0000001 până când găsesc unul care este expus neintenționat.
AppOmni a dezvoltat un atac de concept pentru a ilustra cum un actor extern poate accesa o instanță ServiceNow fără autentificare, captura un token pentru utilizare în cererile HTTP, interoga widgetul public pentru a obține articolele KB și a forța ID-urile tuturor articolelor găzduite.
AppOmni sugerează ca administratorii SecureNow să protejeze articolele KB stabilind ‘User Criteria’ corespunzătoare (Pot Citi/Nu Pot Citi), blocând toți utilizatorii neautorizați.
Criterii precum „Orice Utilizator” sau „Utilizator Oaspete” duc la configurații care nu protejează articolele de accesul extern arbitrar.
Dacă accesul public la Bazele de Cunoștințe nu este explicit necesar, administratorii ar trebui să-l dezactiveze pentru a împiedica accesul articolelor de pe internet.
Cercetătorii subliniază, de asemenea, proprietățile specifice de securitate care pot proteja datele împotriva accesului neautorizat, chiar și în caz de configurații greșite. Acestea sunt:
În cele din urmă, se recomandă activarea regulilor pre-construite out-of-the-box (OOB) ale ServiceNow care adaugă automat Utilizatorii Oaspeți la lista „Nu Pot Citi” pentru KB-urile nou create, cerând administratorilor să le ofere acces în mod specific atunci când este necesar.
Leave a Reply