ServiceNow-Leck Ermöglicht DATENDIEBSTAHL

ServiceNow-Leck Ermöglicht DATENDIEBSTAHL

Lucas Morel

Eine Schwerwiegende Sicherheitslücke dans Der plattform von ServiceNow erlaubt es angreifern, sensible daten zu Stehlen.

Forscher von Varonis Haben Herausgefunden, Dass Eine Schwachstelle dans Der Criebten Workflow-Automatisierungs-plaftform von ServiceNow vertrauliche Informationen Offenlegt. Nachdem die Security-Experten Den anbieter bereits im vergangenen jahr über die softwarelücke information hatten, wurde die plattform stilllschweigend gepatcht und im mai 2025 ein Sicherheits-update für seine kunden veröffentlicht. Am 8. Juli Gab ServiceNow Dann Eine Cve-Nummer (CVE-2025-3648) MIT EINER BESCHREIBUNG DES PROBLÈMES HERAUS.

„Das Update von ServiceNow Behebt Eine Schwachstelle, Die Es Benutzern Mit Geringen Berechtigungen Ermöglicht Hätte, Auf Eingeschränkte Daten Zuzugreifen”, Erklärte Crawford Del Prete, Präsident von idc, Gegenüber Cio.com. „Angesichts der Art Der Daten, Mit Denen ServiceNow Umgeht, Sind Solche Situationn Immer Potenziell Schwerwiegend. »

Zur Behebung des Problems Müssten Administratorn Sicherstellen, Dass Die ZugriffskontrollListen (ACLS) Ordnungsgemäß Konfiguririert und Gut Verwaltet Werden, Betont der Idc-Experte. „Positiv ist, dass mit den jüngsten patchs die standardkonfiguration auf‚ standardmäßig capablehnen ‘geändert wurde, um ein versehentlichen zugriff für nicht privilégierte benutzer zu verhindern. « 

Del Prete Fügt Hinzu: „ServiceNow-Umbungen Sind (Wie Viele Andere Auch) Sehr Dynamisch, Da Sich Benutzer und Rechte Häufig ändern. » Es sei daher von Entscheideder Bedutung, dass änderungen Ordnungsgemäß verwaltet werden.

Yogev Madar, directeur Der Sicherheitsforschungsgruppe von varonis, Rät ServiceNow-Administrarenn, Die ACLS dans Ihrer Umgebung Zu überprüfen und Neue Zugriffsmechanismen Zu Nutzen, Um Sicherzstellen, dass die schwachstelle nicht ausgegelt werden.

Dazu Gehöre Madar Zufolge, Dass

  • die ACLS NICHT AUSSCHLIEßLICH VON DATEN ODER SKRIPTBEDINGUNGEN ABHängen, Die Zu Misbrauch Führen Könnten,
  • Dass Der Neue ACL-Mechanismus „Deny Else » Verwendet Wird, Der Eine Bessere Zugriffskontrolle Bietet, UND
  • Dass Die Neue Query-ACl-Regel Verwendet Wird, Um Die Operator, Die à Abfragen Verwendet Werden Können, Zu Beschränken und aufzählungsversuche Zu Begrenzen.

Selbst Authentifizierte Benutzer Können den Fehler Ausnutzen

Die schwachstelle dans der Zugriffskontrolle Ermöglicht es nicht authentifizierten und sogar authentifizierten benutzern, unter best -timten bedingungen, über abfragen auf nicht für sie légitimeté datan zuzugreifen. Um diese bedrohung abzuwenden, chapeau ServiceNow in Den versionn xanadu und yokohama der plattform zusätzliche frameworks für zugriffskontrollListen eingeführt.

„Diese Schwachstelle War Relativ Einfach Auszunutzen und erforderte Nur minimalen Tabellenzugriff, Beispsielsweise Ein Schwaches Benutzerkonto Innerhalb der Instanz Oder Sogar Einen Selbst Registrigerten anonymen Benutzer, WoDurch Dietwendigkeit Einer Einer Werden Konnte und Daten Offengelegt Wurden «, Erklärte Varonis dans Seinem Blog.

Dem unternehmen Sind Keine Fälle Bekannt, dans Denen Diese Schwachstelle vor der Veröffentlichung des patchs durch ServiceNow im Mai Ausgeutzt wurde.

Plattform Kann Riesige Mengen Sensibler Daten Speichern

ALS Cloud-Basierte Plattform Bietet ServiceNow Eine Vielzahl von Funktionen, Darunter It-Service Management, it-BebsManagement, KundenServiceManagement, Personalwesen, gouvernance, Risiko und Compliance, Gesundheitswesen Und Life Sciences Sowie Management und Vieles MEHR. Damit Kann Die Plattform Eine Vielzahl Sensibler Personablebezogener Daten Speichern.

Laut Varonis Organisiert ServiceNow Praktisch Alle Informationen à Tabellen. Dazu Zählen Elementte wie vorfälle und anfragen, eigenschaften und konfigurationn von Instanzen, Benutzerdaten oder, Anmededaten für anwentennen. Jedes dieser elementte wird als datensatz dans einer entsprechenden tabelle gespeichert.

Die plattform erstellt Mithilfe von Refeenzfeldern Verbinnungen Zwischen Tabellen, über die Informationen Zwischen Verschenenenen Tabellen Ausgetauscht Werden Können. Ein référendzfeld dans Der Tabelle „Vorfälle” Kann Beispesweise Mit Einem Besttimmten Benutzerdatensatz dans Der Tabelle „Benutzer » Verknüpft Sein, Sodass Die Zugehörigen Daten dans Mehreren Tabellen Angezeigt Werden Können.

Der Zugriff auf diese Tabellen Wird Haupsächlich über ZugriffskontrollListen (ACL) Gegelt, Die Festlegen, auf Welche Daten Benutzer Zugreifen Können und wie sie mit diesen interagieren dürfen.

Eine ServiceNow-Instanz Kann Laut Varonis Zehntausende von ACL-Regeln Enthalten.

Die Wichtigsten Komponenten Einer ACL-Regel dans ServiceNow Sind Die Ressourcen, Die Der Administrator Schützen Möchte (Eine Tabelle, Ein Feld Oder Ein Datensatz), Die Operation, Die Art Des des Zu Kontrollerenden Zugriffs Angibt (Lesen, schreiben, Erstller ODER Löschen), Lesen, SCHREIBEN, ESTRERLERNO Bedingungen, die Erfüllt Sein Müssen, Damit Die Regel Angewendet Wird.

Vier Bedingungen Für den Zugriff

Vier Bedingungen dans Jeder ACL Legen Fest, ob ein benutzer die anforderungen für den zugriff auf eine best -mmte ressource erfüllt:

  • Erforderliche: Diese Bedingung Legt Die Rollen Fest, Die Für den Zugriff auf Eine Bestmimmte Ressource Erforderlich Sind. Wenn Ein Anwender über Eine Der dans Der ACL aufgeführten Rolan Verfügt, Erhält er Zugriff.
  • Condition d’attribut de sécurité: Dabei Werden SicherheitsAttribute Verwendet, Um den Zugriff Zu Besttimmen.
  • Datendingung: Diese Bedingung Bewertet Bestimmte Kriteren dans Bezug auf Die Daten Selbst. SIE Können Beispielsweise Eine Bedingung Festlegen, Die den Zugriff auf datensätze mit einem best -mmmten status oder innerhalb eines best -mmmten datumsbereichs belchränkt.
  • Skriptbedingung: Diese Bedingung Ermöglicht die Ausführung Benutzerdefinierter Logik. Administrateur Können Skripte Schreiben, Um Komplexe SicherheitsRegeln Zu Implevantieren, die über einfache roder-oder datedbedingungen hinaugengehen. Ein Skript Kann So Geschrieben Werden, Dass Der Zugriff Nur Gewährt Wird, Wenn Eine Bestmimmte Konfiguration dans Der Instanz Festgelegt iSt Oder Wenn Ein Benutzer Authentifiziert Ist.

Diese Vier ACL-Bedingungen für den Zugriff Werden von ServiceNow dans Dieser Reihenfolge Ausgewertet.

Varonis Hat Festgellt, Dass ServiceNow den Zugriff Je Nachdem, Welche ACL-Bedingungen Nicht Erfüllt Sind, Verweigert. Wenn der Zugriff auf eine Ressource augrund einer der ersten beiden bedingungen – „Erforderliche rolen« oder „Sicherheitsattributedingung” – Blockiert ist, wird der Zugriff Veweigert.

Wird der Zugriff Jedoch aufgrund Einer Nicht Erfüllten „Datenbedingung“ Oder „Skriptbedingung“ Verweigert, Öffnet Sich Dem Benutzer Eine Seite, auf der Die Gesamtzahl der von der Abfrage Zurückgegebenenenenenätze angezeigT Sichtbar Sind. Ein Cyberkrimineller Kann Dann Die AbfrageParameter der Anwendung Verwenden, Um Durch aufzählung Deetaillierte Daten Abzuleiten. Schlimmer Noch: Ein Angreifer Könte diesen prozess Automatisieren, indem er ein einfaches skript für die aufzählung schreibt, so varonis, und so die vollständigen datinsätze auus der tabelle abrufen. Anschließend Kann er die Ergebnisse Aus der html-quelle abrufen.

„ES SIND Keine Bentonderen Konfigurationn Oder Plug-ins erforderlich”, Betonen Die Security-Forscher. Ein angreifer Bräuchte Lediglich Ein Benutzerkonto dans Der ServiceNow-Instanz Mit Teilweisem Zugriff auf Tabellen Oder Spalten.

Neue ACL-Regeln Können Erstellt Werden

Varonis Wies Darauf Hin, Dass Auch Selbst Registrier Benutzer Diesen Anigriff Nutzen Könnten. Die Selbstregistrierung ist eine funktion, mit der benutzer konten erstellen und mit minimalen belechtigungen auf die Instanz zugreifen können, die Dennoch für angriffe genutzt werden können.

„Obwohl es Selten Vorkommt, Dass Instanzen Eine Anonyme Registrier und Einen Anonymen Zugriff Zulassen, Wurde Diese Konfiguration in Den ServiceNow-Systemen Mehrerer Fortune-500-UNternehmen Gefunden“, SO Die SichemerheitsSpezialilast.

Anfällig für den angriff sind tabellen mit acls, Deren Abschnitte „nécessite des rôles » (ErforderLiche Rolan) und „condition d’attribut de sécurité » (SicherheitsAttributedingung) leer oder zu weit Gefasst Sind. „Das Bedeutet, Dass Jede Tabelle, Die Nur Durch Daten- oder Skriptbedingungen Geschützt ist, Vollständig für den angriff offen ist”, führt varonis aus.

Um die schwachstelle zu bemeben, hat ServiceNow mehrere neue acl-Regeln erstellt, die administrator itimaliser Können. Eine Davon Heißt „Query ACL“ und fügt einschränkungen für die abfragen hinzu, die ein anwender an einer tabelle ausführen kann, um datensätze abzurufen. Neue Sicherheitsdatenfilter Können den Zugriff auf datensätze auch basierend auf rollen oder sicherheitsattributen im zusammenhang mit assertions einschränken.

ServiceNow Bietet Anleitungen Zur Verwaltung von ZugriffskontrollListen Sowie Ratschläge für Administratorn und Entwickler.

„Diese schwachstelle dans Servicenow ist eine eindringliche Erinnerung Daran, Dass Selbst Etablierte plattformeren gefährliche schwachstellen in bezug auf die zugriffskontrolle aufweisen können“,

„Était Diese Schwachstelle Besonders BesorgniserRegend Macht, ist Die Leichtigkeit, Mit der Sie Ausgeutzt Werden Kann”, Erklärt Gal Nakash, chef de produit Bei Reco, Einem Anbieter von SAAS-SIGHERHEITSLösungen. „ES SIND WEDER Eine Ausweitung der Beechtigungen Noch TiefGreifende Technische Kenntnisse Erforderlich, Sondern Lediglich Falsch Konfiguririerte ACLS und die Geschickte Verwendung von Abfragefiltern. Datnenexfiltration. « 

„Für Unternehmen, Insbesondere in Regulierten branchen wie dem Gesundheitswesen, dem Finanzwesen oder der Regierung, ist Dies Ein Weckruf. Zugriffskontrolllistten (ACLS) Müssen Nach Demrenzip Under Gerintensten Berechtiggen KonfigUrriert Werden, Rollentensten Berechtighen SicherheitsAttribute Dürfen Niemals Leer oder Zu weit Gefasst Sein “, Ergänzt der Saas-Experte.

Die Neuen Abfrage-ACLS und Sicherheitsdatenfilter von ServiceNow Würden Zwar Leistungsstarken Schutz Bieten, So Nakash Weiter, Aber Sie FunktionIerten Nur, Wenn Sie Aktiv Genutzt und GetESTeT Werden. „Administrateur Sollten Kontinuierlich auf anomalien wie ungewöhnliche Abfragemuster Oder Zugriffe Durch Benutzer Mit Geringen Berechtigungen Achten und Berechtigungsänderungen à Tabellen unnd Rollen überprüfen. » (JM)

vgwort

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

A young man in a white hat and a white and blue striped shirt juggles balls on a white background
La cybersécurité n’est pas sous-financée, elle est sous-gérée
Qui livre le Darknet | Chouette noire
Qui livre le Darknet | Chouette noire
Comment justifier vos investissements en sécurité
Comment justifier vos investissements en sécurité