ServiceNow a dezvăluit un incident de securitate în care atacatorii au exploatat un endpoint API configurat greșit pentru a accesa fără credențiale datele stocate în instanțele clienților enterprise. Compania a aplicat o actualizare de securitate pentru instanțele găzduite ale clienților pe 5 iunie 2026, însă întrebările legate de cât timp a rămas vulnerabilitatea neremediată și câte organizații au fost afectate continuă să se înmulțească.
Ce s-a întâmplat
Într-un buletin de suport accesibil doar prin portalul pentru clienți, ServiceNow a declarat că actualizarea „viza o problemă de securitate care ar putea permite unui utilizator neautentificat, în anumite circumstanțe, să obțină acces mai mare la instanțele ServiceNow decât era prevăzut”, conform raportărilor BleepingComputer și Hackread, care au consultat buletinul. Patch-ul a modificat configurația unui endpoint de API pentru a restricționa accesul exclusiv la utilizatorii autentificați.
ServiceNow a confirmat că actorii de amenințare au exploatat vulnerabilitatea. „Pentru un subset de clienți, am observat dovezi ale unor interogări reușite ale tabelelor de instanță”, se arăta în buletin, adăugând că societatea a deschis cazuri de suport cu organizațiile afectate. Compania nu a dezvăluit numărul clienților afectați și nici tipul datelor care ar fi putut fi accesate.
Administratorii care au discutat incidentul online au identificat endpoint-ul vulnerabil ca fiind /api/now/related_list_edit/create, despre care membrii comunității au afirmat că avea parametrul requires_authentication setat la false, permițând efectiv oricui de pe internet să interogheze datele instanței fără o sesiune validă sau credențiale. Administratorii au distribuit, de asemenea, o adresă IP specifică — 51.159.98.241 — ca indicator de compromitere, îndemnându-și colegii să-și verifice jurnalele.
Amploarea incidentului și răspunsul întârziat, puse sub semnul întrebării
ServiceNow a declarat că problema a afectat în principal clienții de pe platforma sa din Australia, precum și pe cei care utilizau versiuni mai vechi și efectuaseră anumite modificări de configurare. Cu toate acestea, administratori din afara Australiei au raportat dovezi ale unor accesări neautorizate ale propriilor instanțe, ridicând îngrijorări că amploarea incidentului ar putea fi mai mare decât s-a comunicat inițial.
Poate și mai îngrijorător, un utilizator de Reddit a susținut că ServiceNow cunoștea vulnerabilitatea încă din 7 aprilie, conform unor tichete interne de înregistrare a problemelor pe care acesta a afirmat că le-a văzut după ce a escaladat un caz de suport. Utilizatorul a acuzat că ServiceNow intenționase inițial să rezolve problema într-o versiune viitoare a platformei, în loc să o trateze ca pe o remediere urgentă. Cybernews a raportat că ServiceNow nu a răspuns la solicitarea de comentarii pe marginea acestei acuzații.
Context mai larg
ServiceNow, cu sediul în Santa Clara, California, deservește mii de clienți enterprise care se bazează pe platforma sa pentru a automatiza procesele interne de IT, HR și alte procese de afaceri. Compania a raportat venituri de peste 13 miliarde de dolari anul trecut și are aproape 30.000 de angajați. Conform ultimelor informații disponibile, ServiceNow încă evalua dacă să atribuie un identificator CVE vulnerabilității respective.
Surse:
https://cybernews.com/security/servicenow-confirms-security-incident-data-breach/