Une faille exploitée dans ServiceNow expose les données clients

Le spécialiste de l'ITSM a averti ses clients d'un incident de sécurité qui a permis aux attaquants d'accéder aux données des instances clients. Le problème résolu touche principalement les utilisateurs de la dernière version Australia de la plateforme Now de ServiceNow.

Selon nos confrères de Bleepingcomputer, ServiceNow a discrètement alerté ses clients via un bulletin et des tickets d’assistants d'une activité anormale sur certaines instances. Le 5 juin dernier, l’éditeur indique avoir effectué une mise à jour de sécurité corrigeant une faille dans la configuration des points de terminaison API. Elle entraîne pour un utilisateur non authentifié « un accès plus étendu aux instances ServiceNow que prévu ». Des circonvolutions préparatoires pour expliquer dans le bulletin que « des attaquants ont exploité cette faille pour interroger avec succès les tables des instances clients. »

La société n’a pas donné de détails sur les données consultées lors des attaques, mais les instances stockent des informations sensibles comme les tickets de support IT, les dossiers des employés, la documentation interne, les inventaires d'actifs, les rapports d'incidents de sécurité, les données de flux de travail, et les détails de configuration des systèmes et services de l'entreprise. Ces informations sont devenus des cibles prisées par les attaquants en contenant des identifiants, des tokens d’API, des clés d’authentification,…

La dernière version Now Australia principalement touchée

ServiceNow ne donne pas non plus de détails techniques sur la faille. Sur Reddit, des utilisateurs pensent que le problème semble lié un endpoint REST à l’adresse « /api/now/related_list_edit/create ». Ce dernier était configuré avec le paramètre « requires_authentication=false ». Les requêtes non authentifiées pouvaient ainsi accéder aux données des instances. La mise à jour change ce paramètre en forçant l’authentification (True). Parmi les indices de compromissions repérées par les membres de Reddit, les requêtes API provenant de l’adresse IP « 51.159.98.241 » ont été relevées.

Le bulletin de sécurité indique que le problème affecte principalement les clients utilisant la version Australia de la plateforme Now. Cette dernière a été publiée en mai dernier. L’éditeur précise que le bug touche aussi les clients ayant effectué certaines modifications de configuration sur des instances utilisant des versions antérieures.