ServiceNow victime d’une fuite de données majeure
L’éditeur de logiciels américain ServiceNow, célèbre pour sa plateforme cloud, a récemment été confronté à une violation de données qui a affecté plus de 1000 de ses instances d’entreprise. Cette situation a permis à certaines informations sensibles d’être accessibles publiquement à des utilisateurs non autorisés.
Détails de la violation détectée par AppOmni
Selon un rapport publié le 17 septembre par la société de cybersécurité spécialisée dans les applications SaaS, AppOmni, une mauvaise configuration des contrôles d’accès aux bases de connaissances est à l’origine de cette fuite de données. Ces référentiels, conçus pour partager des informations comme des FAQ, des guides et des tutoriels destinés à des utilisateurs autorisés, n’étaient pas censés être disponibles du grand public.
Les chercheurs d’AppOmni ont observé des accès non sécurisés s’étendant à 45 % des instances cloud de ServiceNow. Cela a entraîné l’exposition de données personnelles identifiables (PII), d’informations d’identification d’utilisateurs, ainsi que des détails sur le fonctionnement interne du système et des jetons d’accès pour les systèmes de production.
Un manque de sécurité au niveau des contrôles d’accès
Malgré une mise à jour des listes de contrôles d’accès (ACL) l’année précédente, la majorité des bases de connaissances reposaient sur un attribut de sécurité dénommé « UserIsAuthenticated », qui ne bénéficie pas d’une méthode de contrôle complète. Certains widgets n’ayant pas été mis à jour sur les ACL ont également permis d’interroger les données sans authentification requise.
Exploitation possible des données sensibles
AppOmni n’a pas confirmé si ces données exposées ont été exploitées par des hackers. Cependant, il a été démontré qu’un acteur malveillant peut accéder à une instance ServiceNow sans authentification grâce à une attaque de preuve de concept (PoC). En envoyant un nombre élevé de requêtes HTTP, il est possible de récupérer les articles de la base de connaissances, notamment en raison de l’intitulé des identifiants des articles, qui suivent le format “KB” suivi de sept chiffres.
Actions correctives entreprises par ServiceNow
Depuis la découverte de cette faille, ServiceNow a pris des mesures pour modifier les contrôles d’accès de ses bases de connaissances afin d’éviter d’autres fuites de données à l’avenir. L’entreprise a également fourni des instructions détaillées aux clients concernés pour résoudre ce problème. À ce jour, ServiceNow revendique environ 8100 clients à travers le monde.