Unbefugte greifen auf Daten in Servicenow-Instanzen zu
Eine Sicherheitslücke bei Servicenow hat unbefugte Zugriffe auf Daten in Kundeninstanzen ermöglicht. Der Softwareanbieter hat das Problem inzwischen behoben, muss sich aber Fragen zu seinem Umgang mit frühen Warnungen stellen.
Mehrere Kundinnen und Kunden von Servicenow sind Anfang Juni von einem Sicherheitsvorfall betroffen gewesen. Über eine fehlerhaft konfigurierte Programmierschnittstelle (API) konnten Dritte unter bestimmten Umständen Daten aus Kundeninstanzen abfragen, ohne sich anzumelden. Die Schwachstelle hat Servicenow inzwischen geschlossen, wie "Bleeping Computer" berichtet.
Anfang Juni entdeckte Servicenow verdächtige Aktivitäten in einem Teil seiner gehosteten Kundenumgebungen und spielte am 5. Juni ein Sicherheitsupdate ein. Dieses beschränkt den Zugriff auf die betroffene API nun auf angemeldete User. Welche Daten Unbefugte tatsächlich einsehen konnten, legt das Unternehmen nicht offen. In den Instanzen speichern Unternehmen jedoch oft Support-Tickets, interne Dokumentationen, Daten von Mitarbeitenden oder Konfigurationsinformationen.
Forscher statt Angreifer?
In einer Sicherheitsmeldung vom 10. Juni schreibt Servicenow, die bisherigen Erkenntnisse deuteten darauf hin, dass die beobachteten Zugriffe auf Kundeninstanzen von Sicherheitsforschenden oder Kundinnen und Kunden im Rahmen von Bug-Bounty-Programmen sowie eigenen Untersuchungen stammten. Die beteiligten Forschenden hätten zugesichert, keine Daten gespeichert zu haben.
Allerdings veröffentlichte Servicenow bislang noch keine technischen Details zur Schwachstelle. "Bleeping Computer" berichtet jedoch unter Berufung auf Diskussionen in der Administratoren-Community, dass das Problem offenbar mit dem REST-Endpunkt "/api/now/related_list_edit/create" zusammenhing. Mehrere Fachleute veröffentlichten zudem Hinweise auf verdächtige Zugriffe und empfahlen, Protokolle insbesondere auf Anfragen von der IP-Adresse 51.159.98.241 zu prüfen.
Laut Servicenow betraf die Schwachstelle vor allem User der Plattformversion “Australia” oder älteren Versionen mit bestimmten Konfigurationsänderungen. Das Unternehmen habe die betroffenen Organisationen kontaktiert.
Kritische Fragen wirft der zeitliche Ablauf auf. Servicenow erhielt bereits am 22. April über sein Bug-Bounty-Programm einen vertraulichen Hinweis auf ein ähnliches Problem. Trotzdem vergingen mehr als sechs Wochen, bis das Unternehmen ein Sicherheitsupdate einspielte. Warum Servicenow nach dem ersten Hinweis nicht früher reagierte, ist bislang unklar. Die Untersuchung läuft weiter. Ob Servicenow der Schwachstelle eine offizielle CVE-Kennung zuweist, ist noch offen.
Übrigens: Servicenow will sein Security-Geschäft mit der milliardenschweren Übernahme des Cybersecurity-Spezialisten Armis ausbauen und seine Marktchancen in diesem Bereich verdreifachen - mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Anthropic veröffentlicht eingeschränktes KI-Modell der Mythos-Klasse
Elmo im Teilchenbeschleuniger
Unbefugte greifen auf Daten in Servicenow-Instanzen zu
Betrüger locken Stellensuchende mit gefälschten Jobangeboten
Wie Cyberkriminelle die Fussball-WM als Köder einsetzen
Remcos RAT setzt auf DonutLoader: Neue Angriffskette entdeckt
Der Rat von Elrond diskutiert die Fussball-WM
Cyberangreifer jagen KI-Know-how
Betrüger locken mit angeblicher AHV-Ergänzungsleistung
