Risco de vazamento do ServiceNow expõe milhares de empresas

Risco de vazamento do ServiceNow expõe milhares de empresas. Milhares de organizações em risco de vazamentos de dados da base de conhecimento por meio de configurações incorretas do ServiceNow

Pesquisadores de segurança dizem que milhares de empresas estão potencialmente vazando segredos de seus artigos internos da base de conhecimento (KB) por meio de configurações incorretas do ServiceNow.

Aaron Costello e Dan Meged, das lojas de segurança AppOmni e Adaptive Shield, respectivamente, publicaram separadamente suas descobertas esta semana, concluindo que as páginas definidas como “privadas” ainda podem ser lidas mexendo nos widgets KB de um cliente da ServiceNow.

Esses widgets são essencialmente contêineres de informações usados para construir as páginas em artigos da base de conhecimento. Isso pode incluir elementos de página que permitem que os usuários deixem comentários sobre os artigos, seja por meio de classificações por estrelas ou comentários, por exemplo.

Nos casos em que a KB de uma organização é definida como “pública”, mas as páginas dentro dela são definidas como “privadas”, cada artigo da KB pode ser lido por meio dos widgets do ServiceNow.

Meged estimou que cerca de 30% dos clientes da ServiceNow têm essa configuração defeituosa e podem estar expondo involuntariamente segredos mantidos em seu KB, como senhas de acesso pela primeira vez para novos iniciantes que se conectam a uma VPN da empresa, por exemplo.

Da mesma forma, Costello estimou que, depois de analisar mais de 1.000 instâncias diferentes do ServiceNow, 45% delas estavam expondo dados involuntariamente.

Os clientes que definem seus KBs e páginas KB como “privados” não estão expostos a esse problema e, mesmo que as páginas estejam definidas como “públicas”, mas o próprio KB esteja definido como “privado”, esses clientes também estarão protegidos contra o tipo de exposição descrito aqui.

Deve ser esclarecido que os artigos da Base de Dados de Conhecimento são diferentes das páginas. As páginas da base de conhecimento podem conter qualquer tipo de informação – pode ser um conteúdo multimídia ou um artigo ou uma combinação desses elementos. Os artigos da base de conhecimento são o conteúdo real que as pessoas desejam ler, e os widgets oferecem funcionalidades extras, como comentários ou classificações.

Os próprios widgets também podem ser definidos como “privados”, mas são “públicos” por padrão, que é o que permite que qualquer usuário não autenticado os acesse. O widget Página de Artigo da Base de Dados de Conhecimento pode ser explorado para recuperar o conteúdo do artigo da Base de Dados de Conhecimento, pois torna mais fácil para possíveis invasores localizar artigos da Base de Dados de Dados expostos.

Alguns widgets usam o UUID para localizar esse conteúdo, mas o widget Página de Artigo da Base de Dados de Conhecimento permite que os artigos sejam localizados usando sua ID de artigo exclusiva, cujo formato é sempre “KB” seguido por sete inteiros (KBXXXXXXX), possibilitando incrementar até que um artigo exposto seja encontrado.

Usando uma ferramenta de proxy de rede como o Burp Suite, as solicitações HTTP feitas à instância do ServiceNow podem ser interceptadas, assim como a variável JavaScript g_ck. Essa variável pode então ser conectada a uma solicitação POST junto com a ID do artigo que corresponde ao artigo exposto. O envio dessa solicitação retorna todos os tipos de dados relacionados a esse artigo, incluindo todo o seu conteúdo.

“A capacidade deste widget de iterar rapidamente sobre números de KB para recuperar informações rapidamente é extremamente útil para um invasor que pode enviar solicitações em rápida sucessão e até facilita o ataque a várias instâncias do ServiceNow simultaneamente sem muita largura de banda“, disse Costello.

Barreiras à segurança

Costello ofereceu mais informações sobre por que os KBs do ServiceNow permanecem tão amplamente mal configurados.

O pesquisador trabalhou com o The Register em uma história relacionada ao ServiceNow no ano passado, analisando o papel das listas de controle de acesso (ACLs) que não estavam sendo usadas adequadamente pelos clientes e, por sua vez, não estavam protegendo a exposição do artigo da KB.

O que se seguiu foi a adição de novos controles de segurança para widgets para evitar esses tipos de exposições, e os atributos de segurança foram adicionados à maioria das ACLs por padrão.

“Essa abordagem de duas camadas para a segurança de dados foi uma mudança bem-vinda”, disse ele. “Mas, infelizmente, essas mudanças não forneceram nenhuma proteção adicional a uma das fontes mais prevalentes de exposição de dados, a base de conhecimento.”

Crucialmente, ele disse que os widgets públicos usados no método descrito acima não receberam a atualização da ACL, e o fato de que a maioria dos artigos da KB nem mesmo são protegidos por ACLs de qualquer maneira – muitos clientes usam os critérios do usuário – significava que a atualização da ACL não era uma proteção eficaz da KB em primeiro lugar.

O método de recuperação de artigos da KB pode ser mitigado aplicando os critérios de usuário apropriados, disse Costello. O User Criteria Diagnostics nativo da plataforma também pode ajudar a identificar KBs expostos a usuários não autenticados.

Introduzido em 2022, o pesquisador disse que “é imperativo que os administradores garantam que esta regra de negócios ainda esteja ativada em sua plataforma”. Mantê-los em vigor significa que os usuários convidados são impedidos de acessar materiais da KB por padrão.

O Register abordou a ServiceNow para obter uma declaração, mas não respondeu a tempo para publicação.

O dobro das descobertas

Confusos sobre por que os dois pesquisadores, Costello e Meged, publicaram descobertas ligeiramente diferentes, mas essencialmente as mesmas em 17 de setembro, cada um sem mencionar o outro, perguntamos a ambos como isso aconteceu.

Essencialmente, há uma pequena disputa sobre quem encontrou os problemas primeiro. Falando ao The Reg, Costello apontou para o reconhecimento da ServiceNow de que a AppOmni o descobriu. No entanto, a Adaptive Shield nos mostrou sinais de que eles estavam trabalhando na pesquisa desde 2023 e simplesmente cronometraram sua publicação para se alinhar com a equipe de comunicação da ServiceNow. ®

Atualizado às 8h44 UTC de 20 de setembro de 2024, para adicionar:

Após a publicação deste artigo, a ServiceNow enviou a seguinte declaração:

“A ServiceNow está ciente de uma publicação que descreve o potencial de acesso não intencional se os artigos da Base de Conhecimento (KB) do cliente não estiverem configurados para atender às necessidades de negócios. Há vários meses, entramos em contato com os clientes com orientações detalhadas sobre como resolver esse problema. Além disso, para ajudar a proteger os clientes cujos KBs ainda podem permitir um acesso maior do que o desejado, em 4 de setembro, começamos a tomar medidas proativas projetadas para lidar com as configurações de KB dos clientes conforme apropriado.”

“Trabalhamos proativamente com os clientes na segurança contínua de suas configurações de segurança para garantir que estejam devidamente estruturadas e alinhadas à finalidade pretendida. Tornamos esses protocolos extensíveis para que nossos clientes possam configurá-los com base em suas necessidades de segurança exclusivas.“

Acrescentou: “Queremos esclarecer que não houve divulgação coordenada entre a Adaptive Shield e a ServiceNow relacionada a esse problema, mas encorajamos todos os pesquisadores a trabalhar conosco por meio de nosso programa de divulgação responsável para proteger melhor nossos clientes”.