A ServiceNow alertou para um incidente de segurança após invasores explorarem uma falha de acesso não autenticado por meio de um endpoint vulnerável da API, o que lhes permitiu consultar dados de instâncias de clientes.
A empresa informou discretamente os clientes afetados por meio de um boletim de suporte e de casos abertos diretamente com a equipe de atendimento, depois de detectar “atividade anômala” relacionada ao problema.
O boletim, que fica oculto atrás do portal de login de suporte da ServiceNow, afirma que a empresa aplicou uma atualização de segurança às instâncias hospedadas de clientes em 5 de junho de 2026.
“Em 5 de junho de 2026, a ServiceNow aplicou uma atualização de segurança às instâncias hospedadas de clientes”, diz o comunicado de suporte.
“A atualização tratava de um problema de segurança que poderia permitir que um usuário não autenticado, em determinadas circunstâncias, obtivesse mais acesso às instâncias da ServiceNow do que o pretendido.”
Segundo a empresa, a atualização alterou a configuração do endpoint da API para limitar o acesso apenas a usuários autenticados.
A ServiceNow também confirmou que invasores exploraram a falha com sucesso para consultar tabelas das instâncias dos clientes.
Embora a empresa não tenha divulgado quais dados foram acessados, instâncias desse tipo costumam armazenar informações corporativas sensíveis, como chamados de suporte de TI, registros de funcionários, documentação interna, inventários de ativos, relatórios de incidentes de segurança, dados de fluxos de trabalho e detalhes de configuração de sistemas e serviços corporativos.
Informações de casos de suporte têm se tornado um alvo cada vez mais atraente para threat actors, já que os chamados podem conter credenciais, tokens de API, documentação interna e segredos de autenticação compartilhados durante a resolução de problemas.
De acordo com o aviso, a ServiceNow abriu casos de suporte com os clientes afetados.
Se um cliente não recebeu esse contato, a empresa acredita que ele não foi impactado pelo incidente.
A ServiceNow não divulgou publicamente os detalhes técnicos da falha, mas administradores que discutem o caso no Reddit afirmam que o problema parece estar ligado a um endpoint REST em “/api/now/related_list_edit/create”.
Um comentarista alegou que o endpoint estava configurado com “requires_authentication=false”, o que poderia permitir que solicitações não autenticadas acessassem dados da instância.
A atualização de segurança liberada na sexta-feira teria sido usada para alterar esse parâmetro para true.
Diversos administradores compartilharam indicadores de comprometimento, incluindo requisições de API a partir do IP “51.159.98.241”, e recomendaram que outros responsáveis revisem os logs em busca de acessos ao endpoint vulnerável.
O boletim informa que o problema afeta principalmente clientes que usam a versão Australia da plataforma ou organizações em versões mais antigas que fizeram determinadas alterações de configuração.
“O problema de segurança diz respeito a clientes que estão na versão Australia da plataforma ou que fizeram determinadas alterações de configuração em instâncias de versões anteriores à Australia”, alertou a ServiceNow.
Segundo reportagem do BleepingComputer, a empresa foi contatada mais cedo, após um leitor informar o incidente, com perguntas sobre há quanto tempo a atividade vinha ocorrendo, qual foi a causa do problema e se houve roubo de dados de clientes.
Até o momento da publicação, não houve resposta.
A ServiceNow afirma que ainda avalia se publicará um CVE para a falha.
Os administradores são orientados a revisar os logs da ServiceNow em busca de requisições para “/api/now/related_list_edit”, especialmente a partir do IP “51.159.98.241”.
As organizações afetadas devem examinar chamados e registros expostos em busca de informações sensíveis, rotacionar credenciais ou tokens compartilhados em fluxos de suporte e garantir que o registro de API esteja habilitado.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...