ServiceNow heeft klanten geïnformeerd over een beveiligingsincident waarbij onbevoegden gegevens uit klantomgevingen konden opvragen. Het bedrijf heeft inmiddels een beveiligingsupdate uitgerold en onderzoekt nog welke gegevens precies zijn geraadpleegd.

De softwareleverancier ontdekte afwijkende activiteiten die terug te voeren waren op een kwetsbaarheid in een API-configuratie, meldt BleepingComputer. Daardoor konden aanvallers onder bepaalde omstandigheden zonder authenticatie informatie uit ServiceNow-instances opvragen. Op 5 juni voerde het bedrijf een aanpassing door waarmee toegang tot het betreffende API-eindpunt voortaan alleen nog mogelijk is voor geauthenticeerde gebruikers.

Volgens ServiceNow is de kwetsbaarheid daadwerkelijk misbruikt. Welke gegevens daarbij zijn ingezien, maakt het bedrijf niet bekend. Dat kan potentieel verstrekkende gevolgen hebben, aangezien organisaties ServiceNow vaak gebruiken voor het beheer van IT-processen, supportverzoeken, configuratiegegevens en interne documentatie. In dergelijke omgevingen bevinden zich geregeld ook gevoelige gegevens zoals toegangsgegevens, API-sleutels en informatie over beveiligingsincidenten.

Alleen specifieke klanten getroffen

Het bedrijf heeft inmiddels rechtstreeks contact opgenomen met organisaties waarvan is vastgesteld dat zij door het incident zijn geraakt. Klanten die geen melding hebben ontvangen, hoeven er volgens ServiceNow vooralsnog niet van uit te gaan dat hun omgeving is getroffen.

Uit de communicatie van het bedrijf blijkt dat vooral klanten die gebruikmaken van de Australia-release van het platform risico liepen. Ook bepaalde oudere platformversies kunnen kwetsbaar zijn geweest wanneer specifieke configuratiewijzigingen waren doorgevoerd.

ServiceNow heeft geen technische details over de kwetsbaarheid openbaar gemaakt. Onder beheerders en beveiligingsspecialisten wordt echter gespeculeerd dat het probleem samenhing met een REST-endpoint waarmee gegevens konden worden aangemaakt of gewijzigd. Volgens berichten op online fora stond voor dat onderdeel authenticatie mogelijk uitgeschakeld, waardoor ongeautoriseerde verzoeken konden worden verwerkt.

Daarnaast circuleren aanwijzingen dat aanvallers vanaf een specifiek IP-adres actief waren. Diverse beheerders hebben elkaar opgeroepen om logbestanden te controleren op verdachte verzoeken naar de betreffende API-functie.

Onderzoek loopt nog

Het incident onderstreept opnieuw hoe waardevol IT-servicemanagementplatformen zijn voor aanvallers. Supporttickets en beheeromgevingen bevatten vaak een schat aan operationele en beveiligingsgerelateerde informatie die kan worden gebruikt voor verdere aanvallen op een organisatie.

ServiceNow onderzoekt nog of voor de kwetsbaarheid een officiële CVE-registratie wordt aangevraagd. Intussen adviseert het bedrijf beheerders om logbestanden te analyseren, mogelijk blootgestelde gegevens te beoordelen en waar nodig gedeelde wachtwoorden, tokens en andere toegangsgegevens te vervangen. Ook wordt aangeraden te controleren of API-logging volledig is ingeschakeld, zodat eventuele verdachte activiteiten achteraf kunnen worden onderzocht.