[English]Das US-Unternehmen ServiceNow Inc. bietet eine Cloud-Plattform an, in deren Software wohl seit 2015 ein Bug klaffte, über den Dritte ohne Authentifizierung Informationen abziehen konnten. Nachdem ein Sicherheitsforscher auf die Schwachstelle gestoßen ist, wurde diese stillschweigend in der Cloud-Lösung beseitigt.
Anzeige
Wer ist ServiceNow
Mir war der Anbieter so nicht geläufig, das Unternehmen scheint aber auch in Deutschland vertreten zu sein. ServiceNow Inc. ist ein US-amerikanisches Technologieunternehmen mit Sitz in Santa Clara, Kalifornien. Das Unternehmen bietet eine Cloud Computing Plattform, mit der Unternehmen manuelle Arbeitsweisen durch digitale ersetzen können, heißt es auf Wikipedia.
Der Anbieter hat eine deutschsprachige Web-Präsenz, auf der er darum wirbt, das Potenzial der IT von Firmen zu nutzen. Es heißt dort: "Transformieren Sie Ihr Business mit digitalen IT-Workflows. Modernisieren Sie Ihren Betrieb mit einer zentralen IT-Plattform, um Produktivität, Kosten und Resilienz zu optimieren."
Schwachstelle stillschweigend geschlossen
ServiceNow bietet Widgets an, die als leistungsstarke APIs für das Service-Portal der Plattform fungieren. Es lassen sich so Informationen per Mobilgerät abrufen. Anfang 2023 gab es eine Code-Änderung zur Verbesserung der Sicherheit. Aber trotz dieser Änderungen waren die Standardkonfigurationen der ServiceNow-Widgets so eingestellt, dass die abgerufenen Datensätze öffentlich waren. Das bedeutet, dass unbefugte Dritte Daten abrufen konnten, ohne sich authentifizieren zu müssen. Darauf weist The Register in diesem Beitrag hin.
Der Sicherheitsforscher Aaron Costello wies in diesem Beitrag auf diese offensichtlichen Probleme mit den Standardkonfigurationen der Widgets hin, und zeigte ServiceNow, dass durch die Schwachstelle persönliche Daten offengelegt werden können. Nachdem der Sicherheitsforscher eine Methode veröffentlicht hat, mit der nicht authentifizierte Angreifer sensible Dateien eines Unternehmens stehlen können, musste ServiceNow reagieren. Laut The Register wurde von ServiceNow nun zum 20. Oktober 2023 ein Fix für diese Schwachstelle herausgegeben.
Bevor ServiceNow in aller Stille eine Korrektur herausgab, teilte das Unternehmen The Register mit, dass es sich der Problematik bewusst sei, die "ein potenzielles Fehlkonfigurationsproblem" beschreibe. ServiceNow gab aber an, dass man Änderungen (wohl an den Zugriffslisten, ACL) vornehmen würde. Mit dem Fix scheinen diese ACLs nun so gesetzt zu sein, dass sich keine Informationen aus dem Datenbestand eines Unternehmens mehr ohne Authentifizierung abrufen lassen.
Der Bug soll seit 2015 bestanden haben. Ob der Bug ausgenutzt wurde, ist unbekannt. Für Nutzer aus der EU ergibt sich nun die unangenehme Situation, dass sie mit Kenntnis der Sicherheitslücke prüfen müssten, ob unbefugte Zugriffe erfolgt sind. Im Positiv-Fall ist dann eine Meldung bei der Datenschutzaufsicht fällig. Setzt jemand von euch diese SaaS-Plattform ein?
2015
Hi…
Nein, zum "Glück" nicht – aber neben der sicherlich wichtigen Meldung wäre doch sicherlich noch interessant, wie dieser Hersteller jetzt für seine Intransparenz zur Rechenschaft gezogen wird.
I-wie grenzt das doch schon an "kriminelle Machenschaften" und gehört konsequent verfolgt, oder?