Eerder deze week kondigde ServiceNow op zijn ondersteuningssite aan dat verkeerde configuraties binnen het platform zouden kunnen resulteren in “onbedoelde toegang” tot gevoelige gegevens. Voor organisaties die ServiceNow gebruiken, is deze blootstelling aan beveiliging een kritieke zorg die had kunnen resulteren in een groot datalek van gevoelige bedrijfsgegevens. ServiceNow heeft sindsdien stappen ondernomen om dit probleem op te lossen.
Dit artikel analyseert het probleem volledig en legt uit waarom deze kritieke verkeerde configuratie van applicaties ernstige gevolgen voor bedrijven had kunnen hebben, en welke herstelstappen bedrijven zouden ondernemen als de ServiceNow-oplossing er niet was geweest. (Hoewel het aanbevolen is om nogmaals te controleren of de oplossing de blootstelling van de organisatie heeft gesloten.)
In een notendop
ServiceNow is een cloudgebaseerd platform dat wordt gebruikt voor het automatiseren van IT-servicebeheer, IT-operationsmanagement en IT-businessmanagement voor klantenservice, maar ook voor HR, beveiligingsactiviteiten en een breed scala aan aanvullende domeinen. Deze SaaS-applicatie wordt beschouwd als een van de belangrijkste bedrijfskritische applicaties vanwege het infrastructurele karakter, de uitbreidbaarheid als ontwikkelingsplatform en de toegang tot vertrouwelijke en bedrijfseigen gegevens binnen de hele organisatie.
Simple List is een interfacewidget die gegevens ophaalt die in tabellen zijn opgeslagen en deze in dashboards gebruikt. Dankzij de standaardconfiguratie voor Simple List kunnen niet-geverifieerde gebruikers op afstand toegang krijgen tot de gegevens in de tabellen. Deze tabellen bevatten gevoelige gegevens, waaronder inhoud van IT-tickets, interne geclassificeerde kennisbanken, werknemersgegevens en meer.
Deze misconfiguraties zijn feitelijk al aanwezig sinds de introductie van Access Control Lists in 2015. Tot op heden zijn er geen incidenten als gevolg hiervan gemeld. Maar gezien de recente publicatie van het onderzoek naar datalekken zou het onopgelost laten van dit onderzoek bedrijven meer dan ooit in de problemen hebben gebracht.
Deze blootstelling was het gevolg van slechts één standaardconfiguratie – en er zijn honderden configuraties op het gebied van toegangscontrole, gegevenslekken, bescherming tegen malware en meer die moeten worden beveiligd en onderhouden. Voor organisaties die een SSPM (SaaS Security Posture Management-oplossing), zoals Adaptive Shield, gebruiken, kunnen organisaties gemakkelijker risicovolle verkeerde configuraties identificeren en zien of deze compliant of niet-compliant zijn (zie afbeelding 1 hieronder).
Meer informatie over hoe SSPM de kritieke apps in uw SaaS-stack beveiligt
Binnen de ServiceNow-misconfiguraties
Het is belangrijk om te herhalen dat dit probleem niet werd veroorzaakt door een kwetsbaarheid in de code van ServiceNow, maar door een configuratie die binnen het platform bestaat.
Dit probleem wordt veroorzaakt door beveiligingsmaatregelen in een ServiceNow Access Control List (ACL)-widget genaamd Simple List, die records in gemakkelijk leesbare tabellen plaatst. Deze tabellen organiseren informatie uit meerdere bronnen en hebben configuraties met de standaardinstelling Openbare toegang.
Omdat deze tabellen de kern van ServiceNow vormen, was het probleem niet te vinden in één enkele instelling die kan worden opgelost. Het moest op meerdere locaties binnen de applicatie worden verholpen in combinatie met het gebruik van de UI-widget, en bij alle tenants. Wat het probleem nog ingewikkelder maakte, was dat het wijzigen van een enkele instelling bestaande workflows die verbonden zijn met de Simple List-tabellen zou kunnen verbreken, waardoor bestaande processen ernstig zouden worden verstoord.
Saneringsstappen
Gepubliceerd door ServiceNow in hun kennisbankartikel – Algemene informatie | Potentiële verkeerde configuratie van de openbare lijstwidget, de blootstellingsbeoordeling en herstelmaatregelen omvatten:
- Controleer toegangscontrolelijsten (ACL’s) die geheel leeg zijn of afwisselend de rol ‘Openbaar’ bevatten
- Controleer openbare widgets en stel de vlag ‘Openbaar’ in op ‘false’ als deze niet is afgestemd op hun gebruiksscenario’s
- Overweeg het gebruik van strengere toegangscontrolemaatregelen met behulp van ingebouwde controles die worden aangeboden door ServiceNow, zoals IP-adrestoegangscontrole of adaptieve authenticatie
- Overweeg om ServiceNow te installeren Expliciete rollen plug-in. ServiceNow stelt dat de plug-in voorkomt dat externe gebruikers toegang krijgen tot interne gegevens en dat instanties die deze plug-in gebruiken, geen last hebben van dit probleem (de plug-in zorgt ervoor dat elke ACL ten minste één rolvereiste declareert)
Deze aanbevolen herstelstappen kunnen nog steeds worden gebruikt voor organisaties die zijn blootgesteld (zelfs na de oplossing), omdat het de moeite waard is om nogmaals te controleren om de hoogste veiligheid in de hele organisatie te garanderen.
Lees meer over het automatiseren van uw ServiceNow Security
Automatiseer preventie van gegevenslekken voor ServiceNow
Organisaties die een SaaS Security Posture Management (SSPM)-oplossing gebruiken, zoals Adaptive Shield, kunnen inzicht krijgen in de configuraties van ServiceNow en andere SaaS-apps en elk configuratieprobleem oplossen.
SSPM’s waarschuwen beveiligingsteams wanneer er configuraties met een hoog risico zijn, waardoor ze hun instellingen kunnen aanpassen en elke vorm van gegevenslekken kunnen voorkomen. Op deze manier krijgen bedrijven met een SSPM een beter inzicht in het aanvalsoppervlak, het risiconiveau en de beveiligingspositie van hun bedrijf.
Klik hier om een demo aan te vragen en een beoordeling te krijgen van de blootstelling aan apps
