ServiceNow schließt Schwachstelle nach Angriffen auf Kundeninstanzen

Zusammenfassung

ServiceNow hat Kunden darüber informiert, dass eine Schwachstelle in seiner Cloud-Plattform geschlossen wurde, die offenbar bereits von Angreifern ausgenutzt worden war. Nach Angaben des Unternehmens erhielten gehostete Kundeninstanzen am 5. Juni ein Sicherheitsupdate. Betroffen ist laut einer nur für authentifizierte Kunden einsehbaren Mitteilung, über die SecurityWeek berichtete und deren Kopie auf Reddit geteilt wurde, eine Sicherheitslücke, über die ein nicht authentifizierter Nutzer unter bestimmten Umständen weitergehenden Zugriff auf ServiceNow-Instanzen erhalten konnte als vorgesehen. Die Aktualisierung änderte laut ServiceNow die Konfiguration eines Endpunkts so, dass der Zugriff auf authentifizierte Nutzer beschränkt wird. Das Unternehmen erklärte zudem, es habe anomale Aktivitäten im Zusammenhang mit dem Problem festgestellt. Bei einem Teil der Kunden gebe es Hinweise auf erfolgreiche Abfragen von Instanztabellen. Diese Kunden seien über einzelne Fälle benachrichtigt worden. ServiceNow zufolge sind Nutzer der Australia-Plattformversion sowie Kunden betroffen, die bestimmte Konfigurationsänderungen vorgenommen haben.

Die Mitteilung von ServiceNow deutet auf eine aktiv ausgenutzte Schwachstelle hin, zu der der Hersteller bislang keine öffentlichen technischen Details veröffentlicht hat. In dem Kundenhinweis heißt es, die Lücke könne es einem nicht authentifizierten Nutzer „unter bestimmten Umständen“ ermöglichen, mehr Zugriff auf ServiceNow-Instanzen zu erlangen als beabsichtigt. Als Gegenmaßnahme wurde nach Unternehmensangaben die Konfiguration eines Endpunkts geändert, damit nur noch authentifizierte Nutzer darauf zugreifen können.

ServiceNow erklärte außerdem, man habe „anomale Aktivitäten“ im Zusammenhang mit der Sicherheitslücke erkannt. Für einen Teil der Kunden habe das Unternehmen Belege für erfolgreiche Abfragen von Tabellen innerhalb von Instanzen beobachtet. Wenn solche erfolgreichen Abfragen festgestellt worden seien, habe ServiceNow die betroffenen Kunden per Fallbenachrichtigung informiert.

Welche Kundenzahl betroffen ist, bleibt unklar. Ebenso ist bislang nicht bekannt, wer hinter den Ausnutzungsversuchen steckt. ServiceNow teilte nach dem vorliegenden Hinweis mit, dass Kunden derzeit nichts unternehmen müssten. Der Hersteller prüft nach eigenen Angaben noch, ob der Schwachstelle eine CVE-Nummer zugewiesen wird.

Eingegrenzt hat ServiceNow den Kreis der Betroffenen dennoch: Laut derselben Mitteilung sind Nutzer der Australia-Plattformversion betroffen sowie Kunden, die bestimmte Konfigurationsänderungen vorgenommen haben. Weitere öffentliche Angaben zu dem Sicherheitsvorfall machte das Unternehmen zunächst nicht.

SecurityWeek berichtet, dass die Kundenmitteilung nur für authentifizierte Nutzer zugänglich sei; eine Kopie davon sei auf Reddit geteilt worden. Dort schrieb zudem eine Person, das Sicherheitsteam ihres Unternehmens habe ServiceNow in der vergangenen Woche über die Schwachstelle informiert. Dieselbe Person erklärte auch, der Anbieter habe offenbar bereits seit dem 7. April von dem Problem gewusst, es aber nicht als Risiko eingestuft. Diese Angaben stammen von einem Reddit-Nutzer; eine öffentliche Bestätigung durch ServiceNow dazu liegt in dem Bericht nicht vor.

SecurityWeek hat nach eigenen Angaben bei ServiceNow um eine Klarstellung gebeten und angekündigt, den Bericht zu aktualisieren, falls das Unternehmen reagiert. Bislang bleibt damit offen, wie weit die Ausnutzung reichte und ob ServiceNow die Schwachstelle später noch mit einer CVE kennzeichnen wird.

ServiceNow schließt Schwachstelle nach Angriffen auf Kundeninstanzen

Ähnliche Artikel

Neueste Artikel