📰 Informação fresquinha chegando para você!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A ServiceNow está alertando sobre um incidente de segurança depois que invasores exploraram uma falha de acesso não autenticado por meio de um endpoint de API vulnerável, permitindo-lhes consultar dados de instâncias de clientes.
A empresa alertou discretamente os clientes afetados por meio de um boletim de suporte e casos de suporte direto após detectar "atividades anômalas" relacionadas ao problema.
O boletim, escondido atrás do portal de login de suporte ao cliente da ServiceNow, afirma que a empresa aplicou uma atualização de segurança às instâncias hospedadas do cliente em 5 de junho de 2026.
“Em 5 de junho de 2026, a ServiceNow aplicou uma atualização de segurança às instâncias hospedadas de clientes”, diz o boletim de suporte.
“A atualização dizia respeito a um problema de segurança que poderia permitir que um usuário não autenticado, em certas circunstâncias, obtivesse maior acesso às instâncias do ServiceNow do que o pretendido.”
A empresa afirma que esta atualização de segurança altera a configuração do endpoint da API para limitar o acesso apenas a usuários autenticados.
A ServiceNow também confirmou que os invasores exploraram essa falha para consultar com êxito as tabelas de instâncias do cliente.
Embora a ServiceNow não tenha divulgado quais dados foram acessados durante os ataques, as instâncias geralmente armazenam informações empresariais confidenciais, incluindo tíquetes de suporte de TI, registros de funcionários, documentação interna, inventários de ativos, relatórios de incidentes de segurança, dados de fluxo de trabalho e detalhes de configuração de sistemas e serviços corporativos.
As informações de casos de suporte tornaram-se um alvo cada vez mais popular para os agentes de ameaças, pois os tickets podem conter credenciais, tokens de API, documentação interna e segredos de autenticação compartilhados durante a solução de problemas.
De acordo com o comunicado, a ServiceNow já abriu casos de suporte com clientes afetados. Se um cliente não recebeu um, não se acredita que ele seja afetado pelo incidente.
Embora a ServiceNow não tenha divulgado publicamente detalhes técnicos sobre a falha, os administradores que discutem o incidente no Reddit dizem que o problema parece estar vinculado a um endpoint REST em '/api/now/related_list_edit/create'.
Um comentarista afirmou que o endpoint foi configurado com ‘requires_authentication=false’, potencialmente permitindo solicitações não autenticadas para acessar dados da instância. A atualização de segurança lançada na sexta-feira foi supostamente usada para definir o require_authentication como verdadeiro.
Vários administradores compartilharam indicadores de comprometimento, incluindo solicitações de API do endereço IP '51.159.98.241', aconselhando outros administradores a revisar os registros de solicitações ao endpoint vulnerável.
O boletim afirma que o problema afeta principalmente os clientes que executam a versão da plataforma australiana ou os clientes de versões mais antigas que fizeram determinadas alterações na configuração.
"O problema de segurança refere-se a clientes que estão na versão da plataforma australiana ou que fizeram certas alterações de configuração em instâncias em versões anteriores à Austrália", alertou a ServiceNow.
BleepingComputer entrou em contato com a ServiceNow hoje cedo, depois que um leitor nos alertou sobre o incidente, perguntando há quanto tempo a atividade estava em andamento, o que causou o problema e se os dados do cliente haviam sido roubados. Não recebemos resposta antes da publicação.
A ServiceNow diz que ainda está avaliando se publicará um CVE para o problema.
Os administradores são aconselhados a revisar os logs do ServiceNow em busca de solicitações para /api/now/related_list_edit, principalmente do endereço IP 51.159.98.241.
As organizações afetadas devem revisar tickets e registros expostos em busca de informações confidenciais, alternar credenciais ou tokens compartilhados por meio de fluxos de trabalho de suporte e garantir que o log da API esteja habilitado.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o whitepaper
A empresa alertou discretamente os clientes afetados por meio de um boletim de suporte e casos de suporte direto após detectar "atividades anômalas" relacionadas ao problema.
O boletim, escondido atrás do portal de login de suporte ao cliente da ServiceNow, afirma que a empresa aplicou uma atualização de segurança às instâncias hospedadas do cliente em 5 de junho de 2026.
“Em 5 de junho de 2026, a ServiceNow aplicou uma atualização de segurança às instâncias hospedadas de clientes”, diz o boletim de suporte.
“A atualização dizia respeito a um problema de segurança que poderia permitir que um usuário não autenticado, em certas circunstâncias, obtivesse maior acesso às instâncias do ServiceNow do que o pretendido.”
A empresa afirma que esta atualização de segurança altera a configuração do endpoint da API para limitar o acesso apenas a usuários autenticados.
A ServiceNow também confirmou que os invasores exploraram essa falha para consultar com êxito as tabelas de instâncias do cliente.
Embora a ServiceNow não tenha divulgado quais dados foram acessados durante os ataques, as instâncias geralmente armazenam informações empresariais confidenciais, incluindo tíquetes de suporte de TI, registros de funcionários, documentação interna, inventários de ativos, relatórios de incidentes de segurança, dados de fluxo de trabalho e detalhes de configuração de sistemas e serviços corporativos.
As informações de casos de suporte tornaram-se um alvo cada vez mais popular para os agentes de ameaças, pois os tickets podem conter credenciais, tokens de API, documentação interna e segredos de autenticação compartilhados durante a solução de problemas.
De acordo com o comunicado, a ServiceNow já abriu casos de suporte com clientes afetados. Se um cliente não recebeu um, não se acredita que ele seja afetado pelo incidente.
Embora a ServiceNow não tenha divulgado publicamente detalhes técnicos sobre a falha, os administradores que discutem o incidente no Reddit dizem que o problema parece estar vinculado a um endpoint REST em '/api/now/related_list_edit/create'.
Um comentarista afirmou que o endpoint foi configurado com ‘requires_authentication=false’, potencialmente permitindo solicitações não autenticadas para acessar dados da instância. A atualização de segurança lançada na sexta-feira foi supostamente usada para definir o require_authentication como verdadeiro.
Vários administradores compartilharam indicadores de comprometimento, incluindo solicitações de API do endereço IP '51.159.98.241', aconselhando outros administradores a revisar os registros de solicitações ao endpoint vulnerável.
O boletim afirma que o problema afeta principalmente os clientes que executam a versão da plataforma australiana ou os clientes de versões mais antigas que fizeram determinadas alterações na configuração.
"O problema de segurança refere-se a clientes que estão na versão da plataforma australiana ou que fizeram certas alterações de configuração em instâncias em versões anteriores à Austrália", alertou a ServiceNow.
BleepingComputer entrou em contato com a ServiceNow hoje cedo, depois que um leitor nos alertou sobre o incidente, perguntando há quanto tempo a atividade estava em andamento, o que causou o problema e se os dados do cliente haviam sido roubados. Não recebemos resposta antes da publicação.
A ServiceNow diz que ainda está avaliando se publicará um CVE para o problema.
Os administradores são aconselhados a revisar os logs do ServiceNow em busca de solicitações para /api/now/related_list_edit, principalmente do endereço IP 51.159.98.241.
As organizações afetadas devem revisar tickets e registros expostos em busca de informações confidenciais, alternar credenciais ou tokens compartilhados por meio de fluxos de trabalho de suporte e garantir que o log da API esteja habilitado.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o whitepaper
#samirnews #samir #news #boletimtec #servicenow #divulga #incidente #de #segurança #expondo #dados #de #clientes
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário