ServiceNow meldet Sicherheitsvorfall mit Zugriff auf Kundendaten über API-Schwachstelle

ServiceNow beschreibt den Vorfall als Ausnutzung eines Zugriffsfehlers ohne Authentifizierung über einen verwundbaren API-Endpunkt. Laut Support-Bulletin konnte dadurch ein nicht angemeldeter Nutzer in bestimmten Konstellationen mehr Zugriff auf ServiceNow-Instanzen erhalten als beabsichtigt. Das Unternehmen bestätigte zudem, dass Angreifer die Schwachstelle tatsächlich ausnutzten, um Tabellen aus Kundeninstanzen abzufragen.

Das Sicherheitsupdate für gehostete Kundeninstanzen wurde laut Bulletin am 5. Juni 2026 eingespielt. Nach Angaben von ServiceNow wurde dabei die Konfiguration des API-Endpunkts so geändert, dass der Zugriff auf authentifizierte Nutzer beschränkt ist. Technische Details zur Schwachstelle hat das Unternehmen bislang nicht öffentlich gemacht. ServiceNow prüft nach eigenen Angaben noch, ob für das Problem eine CVE-Kennung veröffentlicht wird.

Welche Informationen konkret abgeflossen oder eingesehen worden sind, sagte ServiceNow nicht. Der Quelltext verweist jedoch darauf, dass Instanzen häufig sensible Unternehmensdaten enthalten, darunter IT-Support-Tickets, Mitarbeiterdaten, interne Dokumentation, Asset-Inventare, Sicherheitsvorfallsberichte, Workflow-Daten sowie Konfigurationsdetails für Systeme und Dienste. Besonders Support-Fallinformationen gelten demnach zunehmend als attraktives Ziel, weil Tickets Zugangsdaten, API-Token, interne Dokumentation und Authentifizierungsgeheimnisse aus Troubleshooting-Prozessen enthalten können.

Nach Angaben von ServiceNow betrifft das Problem vor allem Kunden auf dem Plattform-Release Australia sowie Kunden auf älteren Releases, die bestimmte Konfigurationsänderungen vorgenommen haben. Das Unternehmen hat laut Advisory Support-Fälle mit betroffenen Kunden eröffnet. Wer keine solche Benachrichtigung erhalten habe, gelte nach aktuellem Stand nicht als von dem Vorfall betroffen.

Hinweise aus Administratorenkreisen auf Reddit deuten darauf hin, dass der Vorfall mit dem REST-Endpunkt „/api/now/related_list_edit/create“ zusammenhängt. Ein Kommentator schrieb dort, der Endpunkt sei mit „requires_authentication=false“ konfiguriert gewesen, wodurch nicht authentifizierte Anfragen potenziell auf Instanzdaten zugreifen konnten. Das am Freitag veröffentlichte Sicherheitsupdate sei demnach genutzt worden, um „requires_authentication“ auf „true“ zu setzen. Diese technischen Einschätzungen stammen allerdings aus Diskussionen von Administratoren, nicht aus einer öffentlichen technischen Offenlegung durch ServiceNow.

Mehrere Administratoren veröffentlichten zudem Kompromittierungsindikatoren, darunter API-Anfragen von der IP-Adresse 51.159.98.241. Im Quelltext heißt es, andere Administratoren hätten dazu geraten, Protokolle auf Anfragen an den verwundbaren Endpunkt zu prüfen. Auch ServiceNow-Kunden wird empfohlen, Logs auf Zugriffe auf „/api/now/related_list_edit“ zu überprüfen, insbesondere im Zusammenhang mit der IP-Adresse 51.159.98.241.

BleepingComputer erklärte, ServiceNow am heutigen Tag nach Dauer der Aktivitäten, Ursache des Problems und einem möglichen Datendiebstahl gefragt zu haben. Vor der Veröffentlichung habe das Unternehmen darauf nicht geantwortet.