ServiceNow fixt stillschweigend Bug aus 2015 der Datenlecks ermöglichte

Sicherheit (Pexels, allgemeine Nutzung)[English]Das US-Unternehmen ServiceNow Inc. bietet eine Cloud-Plattform an, in deren Software wohl seit 2015 ein Bug klaffte, über den Dritte ohne Authentifizierung Informationen abziehen konnten. Nachdem ein Sicherheitsforscher auf die Schwachstelle gestoßen ist, wurde diese stillschweigend in der Cloud-Lösung beseitigt.


Anzeige

Wer ist ServiceNow

Mir war der Anbieter so nicht geläufig, das Unternehmen scheint aber auch in Deutschland vertreten zu sein. ServiceNow Inc. ist ein US-amerikanisches Technologieunternehmen mit Sitz in Santa Clara, Kalifornien. Das Unternehmen bietet eine Cloud Computing Plattform, mit der Unternehmen manuelle Arbeitsweisen durch digitale ersetzen können, heißt es auf Wikipedia.

Der Anbieter hat eine deutschsprachige Web-Präsenz, auf der er darum wirbt, das Potenzial der IT von Firmen zu nutzen. Es heißt dort: "Transformieren Sie Ihr Business mit digitalen IT-Workflows. Modernisieren Sie Ihren Betrieb mit einer zentralen IT-Plattform, um Produktivität, Kosten und Resilienz zu optimieren."

Schwachstelle stillschweigend geschlossen

ServiceNow bietet Widgets an, die als leistungsstarke APIs für das Service-Portal der Plattform fungieren. Es lassen sich so Informationen per Mobilgerät abrufen. Anfang 2023 gab es eine Code-Änderung zur Verbesserung der Sicherheit. Aber trotz dieser Änderungen waren die Standardkonfigurationen der ServiceNow-Widgets so eingestellt, dass die abgerufenen Datensätze öffentlich waren. Das bedeutet, dass unbefugte Dritte Daten abrufen konnten, ohne sich authentifizieren zu müssen. Darauf weist The Register in diesem Beitrag hin.

ServiceNow fixes information disclosure bug


Anzeige

Der Sicherheitsforscher Aaron Costello wies in diesem Beitrag auf diese offensichtlichen Probleme mit den Standardkonfigurationen der Widgets hin, und zeigte ServiceNow, dass durch die Schwachstelle persönliche Daten offengelegt werden können. Nachdem der Sicherheitsforscher eine Methode veröffentlicht hat, mit der nicht authentifizierte Angreifer sensible Dateien eines Unternehmens stehlen können, musste ServiceNow reagieren. Laut The Register wurde von ServiceNow nun zum 20. Oktober 2023 ein Fix für diese Schwachstelle herausgegeben.

Bevor ServiceNow in aller Stille eine Korrektur herausgab, teilte das Unternehmen The Register mit, dass es sich der Problematik bewusst sei, die "ein potenzielles Fehlkonfigurationsproblem" beschreibe. ServiceNow gab aber an, dass man Änderungen (wohl an den Zugriffslisten, ACL) vornehmen würde. Mit dem Fix scheinen diese ACLs nun so gesetzt zu sein, dass sich keine Informationen aus dem Datenbestand eines Unternehmens mehr ohne Authentifizierung abrufen lassen.

Der Bug soll seit 2015 bestanden haben. Ob der Bug ausgenutzt wurde, ist unbekannt. Für Nutzer aus der EU ergibt sich nun die unangenehme Situation, dass sie mit Kenntnis der Sicherheitslücke prüfen müssten, ob unbefugte Zugriffe erfolgt sind. Im Positiv-Fall ist dann eine Meldung bei der Datenschutzaufsicht fällig. Setzt jemand von euch diese SaaS-Plattform ein?


Anzeige

Dieser Beitrag wurde unter Cloud, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu ServiceNow fixt stillschweigend Bug aus 2015 der Datenlecks ermöglichte

  1. User007 sagt:

    Hi…

    Nein, zum "Glück" nicht – aber neben der sicherlich wichtigen Meldung wäre doch sicherlich noch interessant, wie dieser Hersteller jetzt für seine Intransparenz zur Rechenschaft gezogen wird.
    I-wie grenzt das doch schon an "kriminelle Machenschaften" und gehört konsequent verfolgt, oder?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.