ServiceNow漏洞暴露客户数据长达两个月，补丁方才发布

ServiceNow于6月5日修补了一项漏洞，该漏洞自4月以来便允许未经认证的用户访问客户数据，导致敏感企业记录面临潜在的窃取风险。

ServiceNow于6月5日修补了一个漏洞，该漏洞此前允许未经认证的攻击者查询客户实例数据，暴露了存储在该云平台上的IT支持工单和员工记录。该平台被数千家企业使用。

公司在向受影响客户发布的支持公告中表示："此次更新涉及一个安全问题，在某些情况下，该问题可能允许未经认证的用户获得比预期更大的ServiceNow实例访问权限。"

根据Reddit管理员的说法，该漏洞涉及一个配置了requires_authentication=false的REST端点/api/now/related_list_edit/create。ServiceNow检测到异常活动，并观察到针对部分客户的实例表成功查询。公司已与受影响组织展开支持案例处理。

ServiceNow的股价约为远期盈利的18倍，其支持工单中存储了包括凭证、API令牌和内部文档在内的敏感企业数据。该事件可能削弱客户对这家平台的信任——该平台被包括众多财富500强企业在内的公司用于自动化IT、人力资源和客户服务工作流。

该漏洞主要影响ServiceNow澳大利亚平台版本的客户，或进行了某些配置更改的旧版本用户。网络安全防御者识别出一个IP地址——51.159.98.241——作为入侵指标，并敦促管理员检查日志中是否有针对该漏洞端点的请求。

一位名为"d3s7iny"的Reddit用户声称，其安全团队已向ServiceNow报告了该漏洞，且该公司自4月7日起便已知晓该问题。在近两个月的时间里，ServiceNow将其归类为非紧急问题，计划在未来的更新中修复，直到漏洞被实际利用。

该事件凸显了企业级SaaS平台中的风险集中问题。ServiceNow的云平台处理IT服务管理、HR系统及客户服务工作流。支持工单中经常包含故障排查过程中共享的密码、加密密钥和认证机密——这使得它们成为威胁行为者日益青睐的目标，近期针对Salesforce旗下Drift平台的攻击便是一例。

ServiceNow正评估是否为该漏洞分配CVE编号。公司尚未披露有多少客户受到影响、哪些具体数据被访问，以及利用攻击的幕后黑手。管理员被建议检查日志中是否有针对该漏洞端点的请求，并轮换通过支持工作流共享的所有凭证。

本文仅供参考，不构成投资建议。