No início da semana, a ServiceNow anunciou em seu site de suporte que as configurações equivocadas dentro da plataforma podem resultar em "acesso não intencional" a dados sensíveis.
Para as organizações que usam a ServiceNow, essa exposição de segurança é uma preocupação crucial que poderia ter resultado em um grande vazamento de dados corporativos sensíveis.
Desde então, a ServiceNow tomou medidas para corrigir esse problema.
Este artigo analisa completamente a questão, explica por que essa configuração errada de aplicativo crítico poderia ter consequências graves para as empresas, e as etapas de remediação que as empresas tomariam, se não fosse pela correção da ServiceNow.
(Embora, seja recomendado verificar se a correção encerrou a exposição da organização.)
Resumindo
A ServiceNow é uma plataforma baseada em nuvem utilizada para automação de gestão de serviços de TI, gestão de operações de TI e gestão de negócios de TI para atendimento ao cliente, assim como RH, operações de segurança, e uma grande variedade de outros domínios.
Este aplicativo SaaS é considerado um dos principais aplicativos críticos para os negócios devido à sua natureza infraestrutural, extensibilidade como plataforma de desenvolvimento, e acesso a dados confidenciais e proprietários em toda a organização.
"Simple List" é um widget de interface que extrai dados armazenados em tabelas e os utiliza em painéis de controle.
A configuração padrão para "Simple List" permite que os dados nas tabelas sejam acessados remotamente por usuários não autenticados.
Essas tabelas incluem dados sensíveis, incluindo conteúdo de tickets de TI, bases de conhecimento internas classificadas, detalhes de funcionários e mais.
Essas configurações erradas estão presentes desde a introdução das Listas de Controle de Acesso em 2015.
Até a data, não houve incidentes relatados como resultado.
No entanto, considerando a recente publicação da pesquisa de vazamento de dados, deixá-la sem solução poderia ter exposto empresas mais do que nunca.
Essa exposição foi o resultado de apenas uma configuração padrão - e existem centenas de configurações cobrindo controle de acesso, vazamento de dados, proteção contra malware e mais que devem ser garantidas e mantidas.
Para organizações que usam uma solução de Gerenciamento de Postura de Segurança SaaS (SSPM), como o Adaptive Shield, as organizações podem identificar mais facilmente configurações arriscadas e verificar se estão em conformidade ou não (veja a imagem 1 abaixo).
É importante reiterar que esse problema não foi causado por uma vulnerabilidade no código do ServiceNow, mas por uma configuração que existe dentro da plataforma.
Esse problema vem de controles de segurança em um widget "Access Control List" (ACL) do ServiceNow chamado "Simple List", que coloca registros em tabelas facilmente legíveis.
Essas tabelas organizam informações de várias fontes e têm configurações com uma configuração padrão de Acesso Público.
Como essas tabelas são o núcleo do ServiceNow, o problema não estava contido em uma única configuração que poderia ser corrigida.
Ele precisava ser remediado em vários locais dentro do aplicativo em combinação com o uso do widget da interface do usuário e em todos os inquilinos.
Complementando o problema, mudar uma única configuração poderia quebrar os fluxos de trabalho existentes conectados às tabelas "Simple List", causando interrupção severa dos processos existentes.
Etapas de Remediação
Publicado pela ServiceNow em seu artigo de base de conhecimento - Informação Geral | Possível Configuração Errada de Lista Pública, a avaliação da exposição e as medidas de remediação incluem:
- Rever Listas de Controle de Acesso (ACLs) que estão completamente vazias ou, alternativamente, contêm a função "Pública"
- Ver os widgets públicos e definir a bandeira "Pública" para falsa onde ela não está alinhada com seus casos de uso
- Considere usar medidas de controle de acesso mais estritas usando controles incorporados oferecidos pela ServiceNow, como Controle de Acesso por IP ou Autenticação Adaptativa
- Considere a instalação do plugin "ServiceNow Explicit Roles".
A ServiceNow afirma que o plugin impede que usuários externos acessem dados e instâncias internas e que as instâncias que usam esse plugin não são afetadas por esse problema (o plugin garante que todas as ACLs declarem pelo menos um requisito de função)
Essas etapas de remediação recomendadas ainda podem ser utilizadas por organizações que estão expostas (mesmo após a correção), pois vale a pena verificar duas vezes para garantir a segurança em toda a organização.
As organizações que usam uma solução de Gerenciamento de Postura de Segurança SaaS (SSPM), como o Adaptive Shield, são capazes de obter visibilidade das configurações de ServiceNow e de qualquer outro aplicativo SaaS e resolver qualquer problema de configuração.
Painel de controle do Adaptive Shield com o framework de conformidade: ServiceNow KB1553688 - Configuração errada de Lista Pública
Os SSPMs alertam as equipes de segurança quando há configurações de alto risco, permitindo-lhes ajustar suas configurações e evitar qualquer tipo de vazamento de dados.
Desta forma, as empresas obtêm uma melhor compreensão da superfície de ataque de sua empresa, do nível de risco, e da postura de segurança com um SSPM.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...