ServiceNow配置错误引发的安全隐患

关键要点

• ServiceNow在过去几天引发了广泛关注，估计有80%的财富500强公司在使用该平台。
• 安全专家指出，如果公司遭到攻击，将面临数据泄露、社会工程攻击以及声誉受损等风险。
• 截至10月31日，尚无因ServiceNow配置错误导致的已知数据泄露或攻击报告。
• 自报告发布以来，研究团队已发现超过5000家暴露的公司，其中许多是财富500强企业。
• 专家建议所有公司检查其ServiceNow账户，确保不会泄露数据。

近日，关于配置错误的消息引发了广泛关注，因为根据估计，约80%的财富500强公司都在使用此平台。尽管安全专家警告说，此次错误可能导致敏感数据泄露，包括密码、票务信息和个人身份信息（PII），以及对社会工程攻击的间接风险，并可能影响公司的声誉，但截至10月31日，尚未收到因此配置错误导致的数据损失或攻击报告。

Adaptive Shield的联合创始人及CEO MaorBin表示，自上周ServiceNow的配置错误被揭露以来，其已检测到超过5000家暴露的公司，许多为财富500强企业。Bin指出，在ServiceNow于10月20日后，他们重新评估了受影响的门户，发现99%的表格内容已不再可访问，仅有1%的企业仍处于暴露状态。

Bin表示：“一个简单的配置错误就可能成为企业SaaS应用堆栈的致命弱点。它们无意间为潜在威胁提供了入口。根据我的经验，这种类型的配置错误在多个关键应用程序中是默认存在的，这凸显了精细的配置管理的重要性，每一项设置都应被检查和监控以确保合规。”

Bin提到，此次暴露问题追溯至2015年，是ServiceNow SimpleList小组件一系列配置造成的，允许未经过身份验证的用户远程访问表格中的数据。这些表格组织了来自多个来源的信息，并且其默认访问设置为公开。

由于这些表格是ServiceNow的核心，Bin指出问题并不局限于单一的设置，安全团队可能需要在应用程序的多个位置进行修复操作，并结合UI小组件的使用。这进一步使问题复杂化，因为更改单个设置可能会破坏与SimpleList表格相关的现有工作流程，从而导致现有过程的严重中断。

“我们建议所有公司检查他们的ServiceNow账户，以确保没有数据泄露，”Bin表示。“仍然暴露的公司面临数据丢失的高风险。”

Bin还补充说，团队的研究仅基于一个样本，不应作为运行ServiceNow的公司完整风险的决定性数字。

内部审计的重要性

很可能是一次内部审计帮助ServiceNow揭示了这个配置错误，这是审计我们政策和程序以确保安全最佳实践的范例，Qualys的主威胁情报分析师AubreyPerin表示。Perin表示，由于配置错误时有发生，许多供应商提供审计服务，帮助企业发现可能危及安全的配置错误，并帮助抵御潜在黑客的入侵。

“对于受到此问题影响的公司，安全团队的最佳修复方式是对服务环境的小部分或备份进行测试，以确保修复不会给组织带来更多问题，”Perin说。“这也可能是重新评估是否可以将服务迁移到网络隔离的段落上，或者重新定义网络利用情况的好时机。正确的措施因组织而异，取决于其各自的风险承受能力。组织应遵循的指导，与其合作以恢复和确保服务。”

John Gallagher，ViakooLabs的副总裁指出，由于该配置错误使得仪表板获得了访问权限，不仅数据丢失成为问题，而且一些对企业重要的数据类型也暴露