导语:在 2023 年发布有关 ServiceNow 数据泄露的报告后,该公司推出了一项安全更新,引入了新的 ACL,以防止未经身份验证访问客户数据。
超过 1,000 个配置错误的 ServiceNow 企业实例被发现将包含敏感公司信息的知识库 (KB) 文章暴露给外部用户和潜在威胁者。暴露的信息包括个人身份信息 、内部系统详细信息、用户凭据、实时生产系统的访问令牌以及取决于知识库主题的其他重要信息。
尽管 ServiceNow 在 2023 年的更新明确旨在改进访问控制列表 (ACL),但这仍然是一个重大问题。
公开的知识库文章
ServiceNow 是一个基于云的软件平台,企业使用它来管理跨不同部门和流程的数字工作流。它是一个完整的解决方案,包含 IT 服务和 IT 运营管理、人力资源任务、客户服务管理、安全工具集成和知识库。
知识库功能充当文章存储库,用户可以在其中共享操作指南、常见问题解答和其他内部程序,供有权查看这些内容的用户使用。但是,由于许多此类文章并非公开发布,因此它们可能包含有关组织的敏感信息。
在 2023 年发布有关 ServiceNow 数据泄露的报告后,该公司推出了一项安全更新,引入了新的 ACL,以防止未经身份验证访问客户数据。然而,AppOmni 表示,大多数 ServiceNow 知识库使用的是用户标准权限系统而不是 ACL,这使得更新的用处不大。
此外,一些面向公众的、暴露客户信息的小部件没有收到 2023 ACL 更新,并继续允许未经身份验证的访问。因此,Costello 表示,面向公众的 ServiceNow 小部件上配置错误的访问控制仍可用于查询知识库中的数据,而无需任何身份验证。
AppOmni 在发布的新报告中表示:“受影响的企业认为这些实例本质上是敏感的,例如 PII、内部系统详细信息以及实时生产系统的有效凭证/令牌。”使用 Burp Suite 等工具,恶意分子可以向易受攻击的端点发送大量 HTTP 请求,以暴力破解知识库文章编号。
研究人员解释说,知识库文章 ID 以 KBXXXXXXX 格式递增,因此威胁者可以通过从 KB0000001 开始递增 KB 编号来暴力破解 ServiceNow 实例,直到找到一个无意中暴露的实例。
AppOmni 开发了一个概念验证攻击,以说明外部如何在没有身份验证的情况下访问 ServiceNow 实例、捕获用于 HTTP 请求的令牌、查询公共小部件以检索 KB 文章,以及暴力破解所有托管文章的 ID。
示例请求(左)和令牌拦截(右)
阻止未经授权的访问
AppOmni 建议 SecureNow 管理员通过设置适当的“用户标准”(可以读取/不能读取)来保护 KB 文章,阻止所有未经授权的用户。
“任何用户”或“访客用户”等标准会导致配置无法保护文章免受任意外部访问。如果没有明确需要公开访问知识库,管理员应将其关闭,以防止文章在互联网上被访问。
研究人员还强调了特定的安全属性,即使在配置错误的情况下,也可以保护数据免遭未经授权的访问。这些是:
·glide.knowman.block_access_with_no_user_criteria(True):确保如果未为 KB 文章设置用户标准,则自动拒绝经过身份验证和未经身份验证的用户访问。
·glide.knowman.apply_article_read_criteria(True):要求用户对单个文章具有明确的“可以阅读”访问权限,即使他们对整个 KB 具有“可以贡献”访问权限。
·glide.knowman.show_unpublished(False):阻止用户查看草稿或未发布的文章,其中可能包含敏感的未审核信息。
·glide.knowman.section.view_roles.draft(管理员):定义可以查看草稿状态的知识库文章的角色列表。
·glide.knowman.section.view_roles.review(管理员):定义可以查看审核状态的知识库文章的角色列表。
·glide.knowman.section.view_roles.stagesAndRoles(管理员):定义可以查看自定义状态的知识库文章的角色列表。
最后,建议激活 ServiceNow 预先构建的开箱即用 (OOB) 规则,该规则会自动将来宾用户添加到新创建的知识库的“无法读取”列表中,要求管理员在需要时专门授予他们访问权限。
文章翻译自:https://www.bleepingcomputer.com/news/security/over-1-000-servicenow-instances-found-leaking-corporate-kb-data/如若转载,请注明原文地址