ServiceNow は 6 月 9 日、未認証アクセスが可能な REST API エンドポイント /api/now/related_list_edit/create を悪用され、顧客インスタンスのテーブルが照会された事象を公表しました。同社は 6 月 5 日にホスト型顧客インスタンスへのパッチを適用済みで、悪用は 6 月 2 日から 5 日前後にかけて発生したとしています。
主なポイント
- 該当エンドポイントは
requires_authentication=falseで設定されており、認証なしで HTTP リクエストを処理できる構成不備があった - ServiceNow は「顧客主導の研究やバグバウンティ提出に関連する活動の可能性が高い」と説明する一方、一部顧客で実テーブル照会の成功も確認したと認めた
- 主な影響は Australia リリースを利用する顧客と、特定設定変更を行った旧バージョン利用顧客
- 4 月 22 日に類似報告を bug bounty 経由で受領していたが、パッチ適用は 6 月 5 日まで遅れた点が指摘されている
- 同社は KB3067321 をサポートポータル経由のみで公開しており、顧客への周知が遅れた点も併せて批判されている
出典: ServiceNow discloses security incident exposing customer data (BleepingComputer)