ServiceNowのバグ、パッチ適用前に2カ月間顧客データを露出

ServiceNowは6月5日、少なくとも4月以降顧客データへの認証なしアクセスを許していた脆弱性にパッチを適用した。この問題により機密性の高いエンタープライズレコードが盗難のリスクにさらされていた。

ServiceNowは6月5日、認証されていない攻撃者が顧客インスタンスデータにクエリを実行できるようにしていた脆弱性にパッチを適用した。これにより、数千の企業が使用するクラウドプラットフォームに保存されたITサポートチケットや従業員記録が露出していた。

「このアップデートは、特定の状況下で、認証されていないユーザーが意図した以上にServiceNowインスタンスへのアクセス権限を取得する可能性があるセキュリティ問題に関するものです」と同社は影響を受けた顧客に共有したサポート速報で述べた。

この欠陥は、Redditの管理者によると、/api/now/related_list_edit/create にあるRESTエンドポイントが requires_authentication=false に設定されていたことに起因する。ServiceNowは異常なアクティビティを検知し、一部の顧客に対するインスタンステーブルへのクエリ成功を確認した。同社は影響を受けた組織に対してサポートケースを開いている。

約18倍のフォワード利益で取引されているServiceNowは、サポートチケットに認証情報、APIトークン、内部ドキュメントなどの機密性の高いエンタープライズデータを保存している。このインシデントは、フォーチュン500企業を含む多くの企業がIT、人事、カスタマーサービスワークフローを自動化するために使用するプラットフォームに対する信頼を損なう可能性がある。

この脆弱性は主に、ServiceNowのオーストラリアプラットフォームリリースを利用している顧客、または特定の設定変更を行った古いリリースの顧客に影響を与えた。ネットワーク防御担当者はIPアドレス「51.159.98.241」を侵害の指標として特定し、管理者に対して脆弱なエンドポイントへのリクエストがないかログを確認するよう促した。

「d3s7iny」と名乗るRedditユーザーは、自身のセキュリティチームがこの脆弱性をServiceNowに報告し、同社が4月7日から内部でこの問題を認識していたと主張した。約2カ月間、ServiceNowはこれを緊急ではないと分類し、悪用が検出されるまで今後のアップデートで修正する予定だった。

このインシデントは、エンタープライズSaaSプラットフォームにおけるリスク集中を浮き彫りにしている。ServiceNowのクラウドは、ITサービス管理、人事システム、カスタマーサービスワークフローを処理する。サポートチケットには、トラブルシューティング中に共有されたパスワード、暗号化キー、認証シークレットが頻繁に含まれており、最近のSalesforceのDriftプラットフォームへの攻撃でも見られたように、脅威アクターにとってますます人気の標的となっている。

ServiceNowは、この脆弱性にCVEを割り当てるかどうかを評価している。同社は、何人の顧客が影響を受けたか、どのような特定のデータがアクセスされたか、あるいは悪用の試みの背後に誰がいるかについては開示していない。管理者は、脆弱なエンドポイントへのリクエストについてログを確認し、サポートワークフローを通じて共有された認証情報をローテーションするようアドバイスされている。

この記事は情報提供のみを目的としており、投資アドバイスを構成するものではありません。