Новости Утечка ServiceNow: тысячи компаний под угрозой

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
ServiceNow и их "маленькая" уязвимость с 2015 года.


lydqvh6ntvkh6aru3y77erocwz18u0z9.jpg


Эксперт по кибербезопасности предупреждает: на цифровой бизнес-платформе ServiceNow обнаружена уязвимость в данных, ставящих под угрозу пользователей платформы.

<span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">ServiceNow — это облачная платформа, предназначенная для автоматизации рабочих процессов в компаниях. Она помогает организациям улучшать и оптимизировать процессы обслуживания, управления инцидентами, изменениями и другие IT-услуги, а также предоставляет инструменты для автоматизации рабочих задач в других отделах, таких как HR, обслуживание клиентов и безопасность.</span>

"Была выявлена потенциальная проблема с утечкой данных во встроенной функции ServiceNow", - сказал Даниэль Мисслер в своем сообщении на платформе X. "Уязвимость позволяет неаутентифицированным пользователям извлекать данные из записей".


yi9izqk8u62l3ymxyrmvdf4s28j592ko.png


Согласно коллеге Мисслера, которого он цитирует, к утечке могли подвергнуться такие данные, как имена, адреса электронной почты и внутренние документы, причем пострадали "тысячи компаний".

Мисслер считает, что слабое место - это неправильная конфигурация в компоненте или виджете системы ServiceNow под названием Simple List, который помещает записи в таблицы, которые легко читать.

Более того, этот сбой существует с момента создания компонента Simple List в 2015 году. Пока что Мисслер говорит, что нет доказательств того, что уязвимость использовали злоумышленники, хотя это не обязательно означает, что это не произошло.

"Не было доказательств эксплуатации в реальной жизни. Однако [...] после этой публикации вероятность атаки значительно возрастет", - добавил он с иронией.

Чтобы устранить проблему, Мисслер настоятельно рекомендует организациям внедрять ограничения интернет-протокола для входящего трафика, отключать публичные виджеты или усилить свои списки контроля доступа с помощью плагина.

Похоже, Мисслер основывался на более подробном отчете коллеги-исследователя в области кибербезопасности Для просмотра ссылки Войди или Зарегистрируйся , на который он ссылался в своей теме на Twitter.
 
Источник новости
www.securitylab.ru

Похожие темы