{"id":639,"date":"2024-10-11T08:14:36","date_gmt":"2024-10-11T08:14:36","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=639"},"modified":"2024-10-11T08:14:36","modified_gmt":"2024-10-11T08:14:36","slug":"leckt-ihre-service-now-instanz-sensible-daten","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=639","title":{"rendered":"Leckt Ihre Service-Now-Instanz sensible Daten?"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
\u00dcber die Knowledge Base Ihrer ServiceNow-Instanz(en) sind m\u00f6glicherweise sensible Unternehmensdaten abgreifbar.\n

T. Schneider | shutterstock.com<\/p>\n<\/div>\n

Die Workflow-Automatisierungs-Plattform von ServiceNow kommt in vielen Unternehmen zum Einsatz. Neben vielen weiteren Funktionen realisiert die Plattform auch eine\u00a0Wissensdatenbank<\/a>\u00a0(Knowledge Base). Die k\u00f6nnen Anwenderunternehmen beispielsweise dazu nutzen, wichtige Dokumente oder Leitf\u00e4den f\u00fcr die interne Nutzung an einem Ort zusammenzuf\u00fchren.<\/p>\n

Einer aktuellen Untersuchung des SaaS-Security-Spezialisten AppOmni zufolge, sind tausende solcher Knowledge-Base-Artikel f\u00fcr die interne Verwendung aufgrund von\u00a0Fehlkonfigurationen<\/a>\u00a0anf\u00e4llig f\u00fcr\u00a0Datenexfiltration,<\/a>\u00a0respektive offen \u00fcber das Internet abrufbar.<\/p>\n

\u201cF\u00fcr Cyberkriminelle ist das der Jackpot\u201d<\/h3>\n

Aaron Costello, Chief of SaaS Security Research bei AppOmni, besch\u00e4ftigt sich schon\u00a0eine ganze Zeit<\/a>\u00a0mit der ServiceNow-Plattform und legt in einem\u00a0detaillierten Blogbeitrag<\/a>\u00a0die aktuellen Erkenntnisse offen: \u201cWir haben im Laufe eines Jahres mehr als 1.000 individuelle ServiceNow-Instanzen identifiziert, die unabsichtlich Daten \u00fcber Knowledge-Base-Artikel offenlegen. Das entspricht etwa 45 Prozent aller in diesem Zeitrahmen \u00fcberpr\u00fcften Enterprise-Instanzen. Dabei war in vielen F\u00e4llen festzustellen, dass Unternehmen, die mehr als eine ServiceNow-Instanz betreiben, die Zugangskontrollen f\u00fcr Knowledge-Base-Artikel konsistent falsch konfiguriert hatten.\u201d<\/p>\n

Die Daten, die \u00fcber diese Instanzen abrufbar gewesen seien, h\u00e4tten die betroffenen Unternehmen als \u201csensibel\u201d eingestuft, schreibt Costello \u2013 darunter pers\u00f6nliche Daten von Mitarbeitern, interne Informationen und g\u00fcltige Zugangsdaten f\u00fcr Produktionssysteme. \u201cF\u00fcr Cyberkriminelle, die es auf bestimmte Organisationen abgesehen haben, ist das der Jackpot. Sie k\u00f6nnten beispielsweise Anmeldedaten nutzen, um tiefer in das Unternehmensnetzwerk vorzudringen,\u00a0Daten zu stehlen oder Hintert\u00fcren zu etablieren<\/a>\u201c, konstatiert der Research-Spezialist in einem Statement gegen\u00fcber der CSO-Redaktion.<\/p>\n

Wie AppOmni schreibt, habe ServiceNow zwar bereits vor einiger Zeit zus\u00e4tzliche Sicherheitsma\u00dfnahmen eingezogen, um unabsichtliche Daten-Leaks zu verhindern \u2013 beispielsweise in Form zus\u00e4tzlicher Security-Attribute f\u00fcr Access Control Lists (ACLs). Allerdings haben die Sicherheitsforscher zwei Probleme identifiziert, die verhindern, dass diese Ma\u00dfnahmen auch effektiv wirken, wenn es um den Zugriff auf Knowledge-Base-Artikel geht. Demnach:<\/p>\n

sind diese Artikel \u00fcber \u201cPublic Widgets\u201d (die kein Sicherheits-Update erhalten haben) weiterhin abrufbar.<\/p>\n

wird die gro\u00dfe Mehrheit der Knowledge-Base-Artikel nicht \u00fcber Access Control Lists (ACLs), sondern \u00fcber sogenannte \u201cUser Criteria\u201d abgesichert.<\/p>\n

\u201cDas erkl\u00e4rt zwar, dass sich das Sicherheitsniveau der Knowledge Base nicht verbessert hat \u2013 aber nicht notwendigerweise, warum Unternehmen Schwierigkeiten haben, entsprechende Gegenma\u00dfnahmen zu ergreifen\u201d, schreibt Costello. Seiner Einsch\u00e4tzung nach sind f\u00fcr letzteren Umstand im wesentlichen drei Dinge urs\u00e4chlich:<\/p>\n

Die wesentliche Schutzma\u00dfnahme \u2013 eine Security Property, die standardm\u00e4\u00dfig den Zugriff auf Knowledge Bases ohne User Criteria verweigert \u2013 stehe zwar seit 2020 zur Verf\u00fcgung. Allerdings seien die meisten ServiceNow-Instanzen in Unternehmen schon deutlich l\u00e4nger in Betrieb, weswegen sie immer noch so konfiguriert seien, dass sie per Default \u00f6ffentlichen Zugriff erlaubten. \u201cSelbst wenn diese Property korrekt konfiguriert ist, kann die Einstellung \u2018can contribute\u2019 dazu f\u00fchren, dass nicht-autorisierte Benutzer Zugriff erlangen\u201d, warnt Costello.<\/p>\n

Die OOB User Criteria seien f\u00fcr weniger erfahrene Benutzer potenziell verwirrend, wie Costello erkl\u00e4rt: \u201cEs gibt zwar die User Criteria \u2018guest user\u2019, um explizit nicht-autorisierten Zugriff zu gew\u00e4hren. Viele Administratoren sind sich jedoch nicht dar\u00fcber bewusst, dass andere Optionen das ebenfalls bewirken k\u00f6nnen \u2013 beispielsweise \u2018any user\u2019 und \u2018any user for KB\u2019, die oft unzul\u00e4ssigerweise als Allow List genutzt werden.\u201d<\/p>\n

Die komplexe Natur der User Criteria k\u00f6nne zudem daf\u00fcr sorgen, dass nicht-autorisierte Benutzer \u201cdurchrutschen\u201d und ungewollt Zugriff erlangen.<\/p>\n

Was ServiceNow-Admins tun k\u00f6nnen<\/h3>\n

In seinem Blogbeitrag veranschaulicht Costello anhand eines ausf\u00fchrlichen Proof of Concept, wie Cyberkriminelle sich diese Umst\u00e4nde zunutze machen k\u00f6nnten. Zudem gibt er einen n\u00fctzlichen, ausf\u00fchrlichen \u00dcberblick \u00fcber die in diesem Zusammenhang wichtigsten Security Properties, die Admins im Auge behalten sollten, um das Risiko f\u00fcr unerlaubte Zugriffe und Datenexfiltration zu minimieren.<\/p>\n

Ganz allgemein empfiehlt AppOmni ServiceNow-Administratoren:<\/p>\n

OOB Business Rules zu aktivieren, um standardm\u00e4\u00dfigen, nicht-autorisierten Zugriff zu verhindern.<\/p>\n

routinem\u00e4\u00dfige, diagnostische \u00dcberpr\u00fcfungen der Knowledge-Base-Zugangskontrollen mit dem in ServiceNow integrierten\u00a0User-Criteria-Diagnose-Tool<\/a>\u00a0zu fahren.<\/p>\n

die Kommunikation zu ServiceNow aufrechtzuerhalten und sich aktiv mit aktuellen Sicherheits-Updates und -Mitteilungen des Anbieters auseinanderzusetzen.<\/p>\n

ServiceNow hat seinerseits inzwischen eine\u00a0neue Sicherheitsrichtlinie eingezogen<\/a>, die den Zugriff auf Knowledge-Base-Artikel standardm\u00e4\u00dfig auf Unternehmensmitarbeiter beschr\u00e4nkt. In einem offiziellen Statement lobt Ben De Bont, Chief Information Security Officer bei ServiceNow, die Zusammenarbeit mit und die Bem\u00fchungen von AppOmni: \u201cWir bedanken uns bei AppOmni und Aaron Costello f\u00fcr ihre anhaltenden Bem\u00fchungen, die Sicherheit unserer Produkte zu verbessern. Ihre Bereitschaft, die Ver\u00f6ffentlichung ihrer Research-Erkenntnisse aufzuschieben, hat uns und unseren Kunden die M\u00f6glichkeit er\u00f6ffnet, den Zugang zu Knowledge-Base-Artikeln zu evaluieren und angemessen zu konfigurieren. Eine Zusammenarbeit dieser Art unterstreicht das Commitment von AppOmni f\u00fcr eine kollaborative Herangehensweise an Sicherheitsprobleme und verdeutlicht den Wert einer\u00a0Zusammenarbeit<\/a>\u00a0von SaaS- und Sicherheitsanbietern.\u201d<\/p>\n

Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n

Jetzt CSO-Newsletter sichern<\/a><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

\u00dcber die Knowledge Base Ihrer ServiceNow-Instanz(en) sind m\u00f6glicherweise sensible Unternehmensdaten abgreifbar. T. Schneider | shutterstock.com Die Workflow-Automatisierungs-Plattform von ServiceNow kommt in vielen Unternehmen zum Einsatz. Neben vielen weiteren Funktionen realisiert die Plattform auch eine\u00a0Wissensdatenbank\u00a0(Knowledge Base). Die k\u00f6nnen Anwenderunternehmen beispielsweise dazu nutzen, wichtige Dokumente oder Leitf\u00e4den f\u00fcr die interne Nutzung an einem Ort zusammenzuf\u00fchren. Einer aktuellen […]<\/p>\n","protected":false},"author":0,"featured_media":640,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-639","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/639"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=639"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/639\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/640"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=639"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=639"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=639"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}