Update 18-09-2024: In een officiële reactie stelt ServiceNow dat het getroffen klanten maanden geleden informeerde hoe men het lekken van knowledge base-artikelen kon voorkomen. Op 4 september trad het proactief op door KB-configuraties te wijzigen waar dat nog nodig was.
Knowledge base-artikelen zitten boordevol nuttige informatie. Normaliter blijven ze binnen de eigen bedrijfsmuren, maar door een gebrek aan updates stonden meer dan 1.000 ServiceNow-instances externe toegang toe.
De informatie in kwestie verschilt sterk afhankelijk van de soort organisatie en de gekozen aanpak van knowledge base-artikelen. Veelal draait het om intern advies, regelmatig in de vorm van een FAQ. Kennis over interne procedures kan op allerlei manieren nuttig zijn voor kwaadwillenden. Denk aan inlogprocedures die te kapen zijn of informatie die phishing-mails geloofwaardig kan maken.
Informatielek was groot
Uit onderzoek van AppOmni blijkt dat de informatie uit deze knowledge base (KB)-artikelen op ServiceNow-instances organisaties compromitteerde. Meer dan 1.000 ServiceNow-instances waren blootgesteld aan het publieke internet door een configuratiefout. Hoewel updates vanuit ServiceNow tijdens 2023 de toegang sterk inperkte voor andere onderdelen, waren deze niet gericht op het afschermen van KB-artikelen. De attribuut “UserIsAuthenticated” die elders op het ServiceNow-platform nodig was, ontbrak hierbij als eis.
Inmiddels is het lek gedicht, mede door actieve interventie door ServiceNow.
Publieke ServiceNow-widgets konden hierdoor toegang verlenen aan data vanuit KB-artikelen zonder een authenticatiestap. Via een proof-of-concept lieten de onderzoekers van AppOmni zien hoe de data te stelen is. Door zich te gedragen als een potentiële aanvaller was de auteur, korte omschrijving en volledige tekst in rap tempo binnen te harken. Volgens AppOmni is het mogelijk voor kwaadwillenden om meerdere ServiceNow-instances tegelijkertijd aan te vallen.
Advies
Om minder gevaar te lopen kunnen organisaties verschillende mitigaties implementeren. ServiceNow staat allerlei aanpassingen toe, waaronder Business Rules die KB’s kunnen afschermen voor externe partijen. Ook zijn security-eigenschappen voor KB’s te kiezen die het opvragen van gevoelige gegevens onmogelijk maakt voor derden. Verder komen diagnostische tests van pas en is het implementeren van de nieuwste ServiceNow-updates sterk aangeraden.