ServiceNow는 6월 5일, 적어도 4월부터 인증되지 않은 고객 데이터 접근을 허용했던 취약점을 패치했으며, 이로 인해 민감한 기업 기록이 잠재적 도난에 노출되었다.
뒤로
ServiceNow 버그, 패치 전 2개월간 고객 데이터 노출
ServiceNow는 6월 5일, 적어도 4월부터 인증되지 않은 고객 데이터 접근을 허용했던 취약점을 패치했으며, 이로 인해 민감한 기업 기록이 잠재적 도난에 노출되었다.
ServiceNow는 6월 5일, 인증되지 않은 공격자가 고객 인스턴스 데이터를 조회할 수 있었던 취약점을 패치했다. 이 취약점으로 인해 수천 개의 기업이 사용하는 클라우드 플랫폼에 저장된 IT 지원 티켓과 직원 기록이 노출되었다.
회사는 영향을 받은 고객에게 공유된 지원 게시판에서 "이 업데이트는 특정 상황에서 인증되지 않은 사용자가 의도한 것보다 더 넓은 범위의 ServiceNow 인스턴스에 접근할 수 있는 보안 문제와 관련된 것"이라고 밝혔다.
Reddit의 관리자들에 따르면, 이 결함은 requires_authentication=false로 설정된 /api/now/related_list_edit/create REST 엔드포인트와 관련이 있었다. ServiceNow는 비정상적인 활동을 탐지했고, 일부 고객에 대해 인스턴스 테이블에 대한 성공적인 질의를 관찰했다. 회사는 피해를 입은 조직들과 지원 케이스를 개설했다.
약 18배의 선행 주가수익비율(PER)로 거래되는 ServiceNow는 지원 티켓에 자격 증명, API 토큰 및 내부 문서를 포함한 민감한 기업 데이터를 저장한다. 이번 사건은 수많은 포춘 500대 기업들이 IT, 인사, 고객 서비스 워크플로우를 자동화하는 데 사용하는 플랫폼에 대한 신뢰를 훼손할 수 있다.
이 취약점은 주로 ServiceNow의 호주 플랫폼 릴리스를 사용하는 고객 또는 특정 구성 변경을 수행한 구버전 릴리스 사용자에게 영향을 미쳤다. 네트워크 방어자들은 IP 주소 51.159.98.241을 침해 지표로 식별했으며, 관리자들에게 취약한 엔드포인트에 대한 요청이 있는지 로그를 검토할 것을 촉구했다.
"d3s7iny"라는 Reddit 사용자는 자신의 보안 팀이 이 취약점을 ServiceNow에 보고했으며, 회사가 4월 7일부터 내부적으로 이 문제를 인지하고 있었다고 주장했다. 약 두 달 동안 ServiceNow는 이를 긴급하지 않은 것으로 분류하고 향후 업데이트에서 해결할 계획이었으나, 익스플로잇이 탐지되면서 상황이 바뀌었다.
이번 사건은 엔터프라이즈 SaaS 플랫폼의 위험 집중도를 보여준다. ServiceNow의 클라우드는 IT 서비스 관리, HR 시스템 및 고객 서비스 워크플로우를 처리한다. 지원 티켓에는 문제 해결 중 공유된 비밀번호, 암호화 키 및 인증 비밀번호가 자주 포함되어 있어, 최근 Salesforce의 Drift 플랫폼 공격에서 볼 수 있듯이 위협 행위자들의 표적이 점점 더 되고 있다.
ServiceNow는 이 취약점에 CVE를 할당할지 여부를 검토 중이다. 회사는 얼마나 많은 고객이 영향을 받았는지, 어떤 특정 데이터에 접근했는지, 또는 익스플로잇 시도背后的 배후가 누구인지 공개하지 않았다. 관리자들은 취약한 엔드포인트에 대한 요청이 있는지 로그를 검토하고 지원 워크플로우를 통해 공유된 자격 증명을 교체할 것을 권고받았다.
본 문서는 정보 제공 목적으로만 작성되었으며 투자 조언을 구성하지 않습니다.
