打开网易新闻 查看精彩图片

超过 1,000 个配置错误的 ServiceNow 企业实例被发现将包含敏感公司信息的知识库 (KB) 文章暴露给外部用户和潜在威胁者。暴露的信息包括个人身份信息 、内部系统详细信息、用户凭据、实时生产系统的访问令牌以及取决于知识库主题的其他重要信息。

尽管 ServiceNow 在 2023 年的更新明确旨在改进访问控制列表 (ACL),但这仍然是一个重大问题。

公开的知识库文章
打开网易新闻 查看精彩图片
公开的知识库文章

ServiceNow 是一个基于云的软件平台,企业使用它来管理跨不同部门和流程的数字工作流。它是一个完整的解决方案,包含 IT 服务和 IT 运营管理、人力资源任务、客户服务管理、安全工具集成和知识库。

知识库功能充当文章存储库,用户可以在其中共享操作指南、常见问题解答和其他内部程序,供有权查看这些内容的用户使用。但是,由于许多此类文章并非公开发布,因此它们可能包含有关组织的敏感信息。

在 2023 年发布有关 ServiceNow 数据泄露的报告后,该公司推出了一项安全更新,引入了新的 ACL,以防止未经身份验证访问客户数据。然而,AppOmni 表示,大多数 ServiceNow 知识库使用的是用户标准权限系统而不是 ACL,这使得更新的用处不大。

此外,一些面向公众的、暴露客户信息的小部件没有收到 2023 ACL 更新,并继续允许未经身份验证的访问。因此,Costello 表示,面向公众的 ServiceNow 小部件上配置错误的访问控制仍可用于查询知识库中的数据,而无需任何身份验证。

AppOmni 在发布的新报告中表示:“受影响的企业认为这些实例本质上是敏感的,例如 PII、内部系统详细信息以及实时生产系统的有效凭证/令牌。”使用 Burp Suite 等工具,恶意分子可以向易受攻击的端点发送大量 HTTP 请求,以暴力破解知识库文章编号。

研究人员解释说,知识库文章 ID 以 KBXXXXXXX 格式递增,因此威胁者可以通过从 KB0000001 开始递增 KB 编号来暴力破解 ServiceNow 实例,直到找到一个无意中暴露的实例。

AppOmni 开发了一个概念验证攻击,以说明外部如何在没有身份验证的情况下访问 ServiceNow 实例、捕获用于 HTTP 请求的令牌、查询公共小部件以检索 KB 文章,以及暴力破解所有托管文章的 ID。

打开网易新闻 查看精彩图片

示例请求(左)和令牌拦截(右)

阻止未经授权的访问
打开网易新闻 查看精彩图片
阻止未经授权的访问

AppOmni 建议 SecureNow 管理员通过设置适当的“用户标准”(可以读取/不能读取)来保护 KB 文章,阻止所有未经授权的用户。

“任何用户”或“访客用户”等标准会导致配置无法保护文章免受任意外部访问。如果没有明确需要公开访问知识库,管理员应将其关闭,以防止文章在互联网上被访问。

研究人员还强调了特定的安全属性,即使在配置错误的情况下,也可以保护数据免遭未经授权的访问。这些是:

·glide.knowman.block_access_with_no_user_criteria(True):确保如果未为 KB 文章设置用户标准,则自动拒绝经过身份验证和未经身份验证的用户访问。

·glide.knowman.apply_article_read_criteria(True):要求用户对单个文章具有明确的“可以阅读”访问权限,即使他们对整个 KB 具有“可以贡献”访问权限。

·glide.knowman.show_unpublished(False):阻止用户查看草稿或未发布的文章,其中可能包含敏感的未审核信息。

·glide.knowman.section.view_roles.draft(管理员):定义可以查看草稿状态的知识库文章的角色列表。

·glide.knowman.section.view_roles.review(管理员):定义可以查看审核状态的知识库文章的角色列表。

·glide.knowman.section.view_roles.stagesAndRoles(管理员):定义可以查看自定义状态的知识库文章的角色列表。

最后,建议激活 ServiceNow 预先构建的开箱即用 (OOB) 规则,该规则会自动将来宾用户添加到新创建的知识库的“无法读取”列表中,要求管理员在需要时专门授予他们访问权限。

参考及来源:https://www.bleepingcomputer.com/news/security/over-1-000-servicenow-instances-found-leaking-corporate-kb-data/