Ciberseguridad 360 | Detectadas más de 1000 filtraciones de datos en instancias de ServiceNow

Se descubrieron m�s de 1.000 instancias empresariales de ServiceNow mal configuradas que expon�an art�culos de la base de conocimientos (KB) que conten�an informaci�n confidencial de la empresa a usuarios externos y posibles actores de amenazas.

La informaci�n expuesta incluye informaci�n personal identificable (PII), detalles del sistema interno, credenciales de usuario, tokens de acceso para sistemas de producci�n en vivo y otra informaci�n esencial dependiendo del tema de la Base de Conocimientos.

Aaron Costello, jefe de investigaci�n de seguridad SaaS en AppOmni, encontr� m�s de mil instancias en l�nea de ServiceNow que exponen involuntariamente informaci�n de la empresa debido a problemas de configuraci�n.

Esto sigue siendo un problema importante a pesar de las actualizaciones de ServiceNow en 2023 dirigidas expl�citamente a mejorar las listas de control de acceso (ACL), pero que no se aplicaban a las KB.

Art�culos KB expuestos

ServiceNow es una plataforma de software basada en la nube que las organizaciones utilizan para gestionar flujos de trabajo digitales en varios departamentos y procesos.

Es una soluci�n completa que incorpora la gesti�n de servicios y operaciones de TI, tareas de RR.HH., gesti�n del servicio de atenci�n al cliente, integraci�n de herramientas de seguridad y una base de conocimientos.

La funci�n de base de conocimientos act�a como un repositorio de art�culos donde las organizaciones pueden compartir gu�as pr�cticas, preguntas frecuentes y otros procedimientos internos para los usuarios autorizados a verlos. Sin embargo, como muchos de estos art�culos no est�n destinados a ser vistos p�blicamente, pueden contener informaci�n sensible sobre una organizaci�n.

Tras un informe de Costello de 2023 sobre la exposici�n de datos de ServiceNow, la empresa lanz� una actualizaci�n de seguridad que introduc�a nuevas ACL para evitar el acceso no autenticado a los datos de los clientes. Sin embargo, AppOmni dice que la mayor�a de las KBs de ServiceNow utilizan el sistema de permisos User Criteria en lugar de ACLs, lo que hace que la actualizaci�n sea menos �til.

Adem�s, algunos widgets p�blicos que exponen informaci�n de clientes no recibieron la actualizaci�n de ACL 2023 y siguen permitiendo el acceso no autenticado.

Debido a esto, Costello dice que los controles de acceso mal configurados en los widgets de ServiceNow de cara al p�blico todav�a se pueden utilizar para consultar datos en las KB sin necesidad de autenticaci�n.

�Estas instancias fueron consideradas por las organizaciones afectadas como sensibles por naturaleza, como PII, detalles del sistema interno y credenciales activas / tokens a sistemas de producci�n en vivo�, dice AppOmni en un nuevo informe publicado hoy.

Utilizando herramientas como Burp Suite, un actor malicioso puede enviar un gran n�mero de peticiones HTTP a un endpoint vulnerable para forzar el n�mero de art�culo KB.

Los investigadores explican que los ID de los art�culos de la base de conocimientos se incrementan en el formato KBXXXXXXX, por lo que una amenaza puede forzar una instancia de ServiceNow incrementando el n�mero de KB a partir de KB0000001 hasta que encuentre uno que est� expuesto involuntariamente.

AppOmni desarroll� un ataque de prueba de concepto para ilustrar c�mo un actor externo puede acceder a una instancia de ServiceNow sin autenticaci�n, capturar un token para utilizarlo en peticiones HTTP, consultar el widget p�blico para recuperar art�culos KB y forzar los ID de todos los art�culos alojados.

Ejemplo de solicitud (izquierda) e interceptaci�n de tokens (derecha)

Fuente: AppOmni

Bloqueo de accesos no autorizados

AppOmni sugiere que los administradores de SecureNow protejan los art�culos de la KB estableciendo los 'Criterios de usuario' apropiados (Puede leer/No puede leer), bloqueando a todos los usuarios no autorizados.

Criterios como �Cualquier usuario� o �Usuario invitado� conducen a configuraciones que no protegen los art�culos de accesos externos arbitrarios.

Si el acceso p�blico a las Bases de Conocimiento no es expl�citamente necesario, los administradores deber�an desactivarlo para evitar que los art�culos sean accesibles en Internet.

Los investigadores tambi�n destacan propiedades de seguridad espec�ficas que pueden proteger los datos de accesos no autorizados, incluso en el caso de configuraciones err�neas. �stas son:

glide.knowman.block_access_with_no_user_criteria (Verdadero): Garantiza que se deniegue autom�ticamente el acceso a los usuarios autenticados y no autenticados si no se establecen Criterios de usuario para un art�culo de KB.
glide.knowman.apply_article_read_criteria (Verdadero): Requiere que los usuarios tengan acceso expl�cito �Puede leer� a art�culos individuales, incluso si tienen acceso �Puede contribuir� a toda la KB.
glide.knowman.show_unpublished (Falso): Evita que los usuarios vean borradores o art�culos no publicados, que pueden contener informaci�n sensible y no revisada.
glide.knowman.section.view_roles.draft (Admin): Define una lista de roles que pueden ver art�culos KB en estado borrador.
glide.knowman.section.view_roles.review (Admin): Define una lista de roles que pueden ver art�culos de la base de datos en estado de revisi�n.
glide.knowman.section.view_roles.stagesAndRoles (Admin): Define una lista de roles que pueden ver art�culos de la KB que se encuentran en un estado personalizado.

Por �ltimo, se recomienda activar las reglas preconfiguradas de ServiceNow (OOB) que a�aden autom�ticamente a los usuarios invitados a la lista �No se puede leer� para las bases de datos reci�n creadas, lo que requiere que los administradores les den acceso espec�ficamente cuando sea necesario.

Fuente: bleepingcomputer