ServiceNow bestätigt Ausnutzung einer Schwachstelle in Kundeninstanzen

Zusammenfassung

ServiceNow hat einen Sicherheitsvorfall bestätigt, bei dem unbekannte Angreifer eine Schwachstelle ausnutzten, um weitergehenden unbefugten Zugriff auf anfällige Kundeninstanzen zu erlangen. Nach Angaben des Unternehmens wurde am 5. Juni 2026 auf gehosteten Kundeninstanzen ein Sicherheitsupdate eingespielt. Dieses betraf ein Problem, das es einem nicht authentifizierten Nutzer unter bestimmten Umständen erlauben konnte, mehr Zugriff auf ServiceNow-Instanzen zu erhalten als vorgesehen. ServiceNow erklärte zudem, anomale Aktivitäten im Zusammenhang mit der Lücke erkannt zu haben. Dabei habe es Hinweise auf erfolgreich ausgeführte Abfragen von Instanztabellen bei einer Teilmenge von Kunden gegeben. Betroffene Kunden seien benachrichtigt worden. Die Schwachstelle trägt derzeit keine CVE-Kennung. Öffentlich bekannt wurden erste Details über Reddit. Laut ServiceNow betrifft das Problem Kunden, die den Plattform-Release Australia nutzen oder auf früheren Releases bestimmte Konfigurationsänderungen an ihren Instanzen vorgenommen haben.

Das von ServiceNow bereitgestellte Sicherheitsupdate ändert nach Unternehmensangaben die Konfiguration eines Endpunkts, um den Zugriff auf authentifizierte Nutzer zu beschränken. Hintergrund ist eine Schwachstelle, über die ein nicht authentifizierter Nutzer unter bestimmten Bedingungen weitergehende Rechte auf ServiceNow-Instanzen erlangen konnte als beabsichtigt.

ServiceNow teilte mit, im Zusammenhang mit diesem Problem anomale Aktivitäten festgestellt zu haben. Das Unternehmen beobachtete demnach Belege dafür, dass Instanztabellen bei einer „Teilmenge von Kunden“ erfolgreich abgefragt wurden. Später bestätigte ServiceNow dies auch öffentlich in einem Hinweis und erklärte, dass „eine Teilmenge von Kundeninstanzen im Rahmen dieser Aktivität erfolgreich abgefragt wurde“.

Nach Angaben des Unternehmens begann die bösartige Aktivität am 2. Juni 2026. Am 3. und 4. Juni 2026 hätten Kunden Einreichungen an ihre Bug-Bounty-Programme übermittelt, die eine Sicherheitslücke beschrieben, durch die ein nicht authentifizierter Nutzer unter bestimmten Umständen unerwünschten Zugriff auf Informationen in ServiceNow-Instanzen erhalten konnte. Diese Meldungen seien einer vertraulichen Einreichung ähnlich gewesen, die am 22. April 2026 an das Bug-Bounty-Programm von ServiceNow gesendet worden war.

Welche Systeme betroffen sind, grenzt ServiceNow ebenfalls ein: Das Problem betreffe Kunden auf dem Plattform-Release Australia oder Kunden, die auf älteren Releases bestimmte Konfigurationsänderungen an ihren Instanzen vorgenommen hätten. Eine CVE-Nummer gibt es für die Schwachstelle bislang nicht.

Erste öffentliche Hinweise auf den Vorgang tauchten auf Reddit auf. Dort schrieb ein Nutzer mit dem Namen „d3s7iny“, sein Sicherheitsteam habe die Schwachstelle an ServiceNow gemeldet. Außerdem behauptete der Nutzer, das Unternehmen habe intern bereits seit dem 7. April 2026 von dem Problem gewusst. Rund zwei Monate lang sei es demnach als nicht dringlich eingestuft worden, mit dem Plan, es erst in einem künftigen Update zu beheben.

Auf Anfrage erklärte ein Sprecher von ServiceNow, die oberste Priorität habe darin bestanden, direkt die Teilmenge der betroffenen Kunden zu kontaktieren; der Vorfall sei nicht breit gestreut gewesen. Das Unternehmen blieb damit bei seiner Darstellung, dass nur ein begrenzter Kreis von Kundeninstanzen betroffen war.

ServiceNow bestätigt Ausnutzung einer Schwachstelle in Kundeninstanzen

Ähnliche Artikel

Neueste Artikel