ServiceNow 警告称发生了一起安全事件,攻击者通过易受攻击的 API 端点利用未授权访问漏洞,从而能够查询客户实例中的数据。
在检测到与该问题相关的“异常活动”后,该公司通过支持公告和直接支持案例悄悄警告了受影响的客户。
该公告隐藏在 ServiceNow 的客户支持登录门户之后,指出公司于 2026 年 6 月 5 日对托管客户实例应用了安全更新。
“2026 年 6 月 5 日,ServiceNow 对托管客户实例应用了安全更新,”支持公告中写道。
“该更新涉及一个安全问题,该问题可能允许未认证用户在某些情况下获得超出预期的 ServiceNow 实例访问权限。”
该公司表示,此次安全更新更改了 API 端点配置,将访问权限限制为仅限已认证用户。
ServiceNow 还确认,攻击者利用此漏洞成功查询了客户实例表。
虽然 ServiceNow 未披露攻击期间访问了哪些数据,但实例通常存储敏感的企业信息,包括 IT 支持工单、员工记录、内部文档、资产清单、安全事件报告、工作流数据以及企业系统和服务的配置详情。
支持案例信息已成为威胁行为者日益青睐的目标,因为工单可能包含故障排除期间共享的凭据、API 令牌、内部文档和身份验证机密。
根据该公告,ServiceNow 现已为受影响客户开启了支持案例。如果客户未收到此类案例,则认为其未受该事件影响。
虽然 ServiceNow 尚未公开披露该漏洞的技术细节,但在 Reddit 上讨论此事的管理员表示,该问题似乎与位于 /api/now/related_list_edit/create 的 REST 端点有关。
一位评论者声称该端点配置为 requires_authentication=false,可能允许未认证的请求访问实例数据。周五发布的安全更新据称用于将 requires_authentication 设置为 true。
众多管理员分享了入侵指标(IoC),包括来自 IP 地址 51.159.98.241 的 API 请求,并建议其他管理员审查针对该易受攻击端点的请求日志。
公告指出,该问题主要影响运行 Australia 平台版本的客户,或对 Australia 之前版本进行特定配置更改的客户。
“该安全问题涉及使用 Australia 平台版本的客户,或对 Australia 之前版本的实例进行了特定配置更改的客户,”ServiceNow 警告说。
BleepingComputer 今天早些时候在读者提醒我们注意该事件后联系了 ServiceNow,询问该活动持续了多久、导致问题的原因以及客户数据是否被盗。我们在发布前未收到回复。
ServiceNow 表示仍在评估是否将为该问题发布 CVE。
建议管理员审查 ServiceNow 日志中针对 /api/now/related_list_edit 的请求,特别是来自 IP 地址 51.159.98.241 的请求。
受影响的组织应审查暴露的工单和记录中的敏感信息,轮换通过支持工作流共享的凭据或令牌,并确保已启用 API 日志记录。
消息来源:bleepingcomputer.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
