T. Schneider | shutterstock.com
Die Workflow-Automatisierungs-Plattform von ServiceNow kommt in vielen Unternehmen zum Einsatz. Neben vielen weiteren Funktionen realisiert die Plattform auch eine Wissensdatenbank (Knowledge Base). Die können Anwenderunternehmen beispielsweise dazu nutzen, wichtige Dokumente oder Leitfäden für die interne Nutzung an einem Ort zusammenzuführen.
Einer aktuellen Untersuchung des SaaS-Security-Spezialisten AppOmni zufolge, sind tausende solcher Knowledge-Base-Artikel für die interne Verwendung aufgrund von Fehlkonfigurationen anfällig für Datenexfiltration, respektive offen über das Internet abrufbar.
“Für Cyberkriminelle ist das der Jackpot”
Aaron Costello, Chief of SaaS Security Research bei AppOmni, beschäftigt sich schon eine ganze Zeit mit der ServiceNow-Plattform und legt in einem detaillierten Blogbeitrag die aktuellen Erkenntnisse offen: “Wir haben im Laufe eines Jahres mehr als 1.000 individuelle ServiceNow-Instanzen identifiziert, die unabsichtlich Daten über Knowledge-Base-Artikel offenlegen. Das entspricht etwa 45 Prozent aller in diesem Zeitrahmen überprüften Enterprise-Instanzen. Dabei war in vielen Fällen festzustellen, dass Unternehmen, die mehr als eine ServiceNow-Instanz betreiben, die Zugangskontrollen für Knowledge-Base-Artikel konsistent falsch konfiguriert hatten.”
Die Daten, die über diese Instanzen abrufbar gewesen seien, hätten die betroffenen Unternehmen als “sensibel” eingestuft, schreibt Costello – darunter persönliche Daten von Mitarbeitern, interne Informationen und gültige Zugangsdaten für Produktionssysteme. “Für Cyberkriminelle, die es auf bestimmte Organisationen abgesehen haben, ist das der Jackpot. Sie könnten beispielsweise Anmeldedaten nutzen, um tiefer in das Unternehmensnetzwerk vorzudringen, Daten zu stehlen oder Hintertüren zu etablieren“, konstatiert der Research-Spezialist in einem Statement gegenüber der CSO-Redaktion.
Wie AppOmni schreibt, habe ServiceNow zwar bereits vor einiger Zeit zusätzliche Sicherheitsmaßnahmen eingezogen, um unabsichtliche Daten-Leaks zu verhindern – beispielsweise in Form zusätzlicher Security-Attribute für Access Control Lists (ACLs). Allerdings haben die Sicherheitsforscher zwei Probleme identifiziert, die verhindern, dass diese Maßnahmen auch effektiv wirken, wenn es um den Zugriff auf Knowledge-Base-Artikel geht. Demnach:
sind diese Artikel über “Public Widgets” (die kein Sicherheits-Update erhalten haben) weiterhin abrufbar.
wird die große Mehrheit der Knowledge-Base-Artikel nicht über Access Control Lists (ACLs), sondern über sogenannte “User Criteria” abgesichert.
“Das erklärt zwar, dass sich das Sicherheitsniveau der Knowledge Base nicht verbessert hat – aber nicht notwendigerweise, warum Unternehmen Schwierigkeiten haben, entsprechende Gegenmaßnahmen zu ergreifen”, schreibt Costello. Seiner Einschätzung nach sind für letzteren Umstand im wesentlichen drei Dinge ursächlich:
Die wesentliche Schutzmaßnahme – eine Security Property, die standardmäßig den Zugriff auf Knowledge Bases ohne User Criteria verweigert – stehe zwar seit 2020 zur Verfügung. Allerdings seien die meisten ServiceNow-Instanzen in Unternehmen schon deutlich länger in Betrieb, weswegen sie immer noch so konfiguriert seien, dass sie per Default öffentlichen Zugriff erlaubten. “Selbst wenn diese Property korrekt konfiguriert ist, kann die Einstellung ‘can contribute’ dazu führen, dass nicht-autorisierte Benutzer Zugriff erlangen”, warnt Costello.
Die OOB User Criteria seien für weniger erfahrene Benutzer potenziell verwirrend, wie Costello erklärt: “Es gibt zwar die User Criteria ‘guest user’, um explizit nicht-autorisierten Zugriff zu gewähren. Viele Administratoren sind sich jedoch nicht darüber bewusst, dass andere Optionen das ebenfalls bewirken können – beispielsweise ‘any user’ und ‘any user for KB’, die oft unzulässigerweise als Allow List genutzt werden.”
Die komplexe Natur der User Criteria könne zudem dafür sorgen, dass nicht-autorisierte Benutzer “durchrutschen” und ungewollt Zugriff erlangen.
Was ServiceNow-Admins tun können
In seinem Blogbeitrag veranschaulicht Costello anhand eines ausführlichen Proof of Concept, wie Cyberkriminelle sich diese Umstände zunutze machen könnten. Zudem gibt er einen nützlichen, ausführlichen Überblick über die in diesem Zusammenhang wichtigsten Security Properties, die Admins im Auge behalten sollten, um das Risiko für unerlaubte Zugriffe und Datenexfiltration zu minimieren.
Ganz allgemein empfiehlt AppOmni ServiceNow-Administratoren:
OOB Business Rules zu aktivieren, um standardmäßigen, nicht-autorisierten Zugriff zu verhindern.
routinemäßige, diagnostische Überprüfungen der Knowledge-Base-Zugangskontrollen mit dem in ServiceNow integrierten User-Criteria-Diagnose-Tool zu fahren.
die Kommunikation zu ServiceNow aufrechtzuerhalten und sich aktiv mit aktuellen Sicherheits-Updates und -Mitteilungen des Anbieters auseinanderzusetzen.
ServiceNow hat seinerseits inzwischen eine neue Sicherheitsrichtlinie eingezogen, die den Zugriff auf Knowledge-Base-Artikel standardmäßig auf Unternehmensmitarbeiter beschränkt. In einem offiziellen Statement lobt Ben De Bont, Chief Information Security Officer bei ServiceNow, die Zusammenarbeit mit und die Bemühungen von AppOmni: “Wir bedanken uns bei AppOmni und Aaron Costello für ihre anhaltenden Bemühungen, die Sicherheit unserer Produkte zu verbessern. Ihre Bereitschaft, die Veröffentlichung ihrer Research-Erkenntnisse aufzuschieben, hat uns und unseren Kunden die Möglichkeit eröffnet, den Zugang zu Knowledge-Base-Artikeln zu evaluieren und angemessen zu konfigurieren. Eine Zusammenarbeit dieser Art unterstreicht das Commitment von AppOmni für eine kollaborative Herangehensweise an Sicherheitsprobleme und verdeutlicht den Wert einer Zusammenarbeit von SaaS- und Sicherheitsanbietern.”
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.
No Responses