СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12 июня
#ИБ

Уязвимость ServiceNow открыла доступ к данным клиентских инстансов

ServiceNow сообщила о нарушении, связанном с несанкционированным доступом к данным клиентских инстансов из-за уязвимости в API, позволявшей злоумышленникам обходить стандартные механизмы аутентификации. Инцидент был обнаружен примерно 2–3 June 2026 года, после чего компания уведомила затронутых клиентов 5 June и вскоре выпустила security update.

Что произошло

По данным отчета, инцидент затронул клиентские инстансы ServiceNow, работающие на платформе Australia release, а также некоторые более старые релизы, в которых были специфические изменения конфигурации. При этом точные критерии, по которым инстансы были отнесены к затронутым или незатронутым, публично не раскрываются.

Компания рекомендует клиентам проверять свой статус через поддержку ServiceNow, а не опираться на опубликованную информацию. Такой подход объясняется тем, что ServiceNow не раскрыла все технические детали инцидента.

Подозрительная активность в API

Хотя ServiceNow не назвала точный API-эндпоинт, связанный с инцидентом, в сообщении указывается, что подозрительная активность была зафиксирована на эндпоинте /api/now/related_list_edit/create.

Уязвимость была связана с вредоносным поведением, которое вызвало обеспокоенность у internal security teams ServiceNow. При этом ключевые детали остаются нераскрытыми:

  • количество затронутых инстансов;
  • содержание скомпрометированных данных;
  • был ли осуществлен data exfiltration;
  • появились ли данные на criminal marketplaces.

Что рекомендуется клиентам

Для снижения дальнейших рисков организациям советуют проверить журналы на наличие подозрительной API-активности. Особое внимание следует уделять запросам, которые:

  • выполнялись из unauthenticated contexts;
  • исходили с необычных traffic patterns;
  • поступали с незнакомых IP-адресов;
  • фиксировались вне обычного рабочего времени;
  • демонстрировали поведение, похожее на enumeration, то есть систематическое зондирование системы.

Кроме того, организациям рекомендуется провести audit своих API controls и ACL. В частности, следует проверить:

  • пользовательские Scripted REST API;
  • REST access policies;
  • поведение access control list (ACL) в контексте неаутентифицированного доступа.

В этом процессе, как отмечается в отчете, может помочь собственная documentation ServiceNow по API authentication и REST API access policies.

Почему этот инцидент важен

Этот случай подчеркивает, насколько опасны ошибки в механизмах аутентификации публичных API. Даже одна уязвимая точка доступа может привести к несанкционированному доступу к данным клиентов и создать угрозу более широкого компрометационного сценария.

Вывод: инцидент с ServiceNow показывает, что организациям необходимо уделять повышенное внимание управлению доступом, настройке ACL и качеству logging. Именно эти меры помогают своевременно выявлять аномалии и снижать риск будущей эксплуатации уязвимостей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: