Неправильно настроенные базы знаний ServiceNow раскрывают конфиденциальную информацию

Пользователи ServiceNow, облачной платформы, используемой для управления ИТ-услугами и процессами, могут неосознанно раскрывать конфиденциальную информацию, включая имена, номера телефонов, внутренние системные данные и активные учетные данные.

Неправильная конфигурация баз знаний — платформ самообслуживания в ServiceNow, где пользователи могут создавать, хранить и делиться информацией, такой как статьи и руководства, — может привести к тому, что неавторизованные лица получат доступ к системе. Многие организации используют базы знаний в качестве хранилищ конфиденциальной внутренней информации, например, как сбросить пароли компании, как реагировать на кибератаки, данные, связанные с процессами управления персоналом и многое другое.

Согласно новому блогу поставщика платформы безопасности SaaS AppOmni, около 60% случаев воздействия связаны со старыми версиями Баз знаний, которые настроены на разрешение публичного доступа по умолчанию. Другие имеют «Критерии пользователя» — правила, которые определяют особые условия для пользователей, чтобы получить доступ или внести свой вклад в Базы знаний — которые непреднамеренно предоставляют доступ неаутентифицированным пользователям.

СМ.: ServiceNow против Jira Service Management

ServiceNow используют 85% компаний из списка Fortune 500, и более тысячи экземпляров в настоящее время настроены неправильно. Было обнаружено, что многие организации с несколькими экземплярами ServiceNow постоянно неправильно настраивали элементы управления доступом к Базе знаний, что указывает на то, что настройки либо клонировались между экземплярами, либо существует фундаментальное непонимание того, как они работают.

Аарон Костелло, руководитель отдела исследований безопасности SaaS в AppOmni, отметил: «Это подчеркивает острую необходимость для предприятий регулярно проверять и обновлять свои конфигурации безопасности, чтобы предотвратить несанкционированный доступ и защитить свои информационные активы.

«Понимание этих проблем и способов их устранения имеет решающее значение для поддержания надежной безопасности в корпоративных SaaS-средах».

Это не первый случай, когда ServiceNow был обнаружен в раскрытии конфиденциальных данных из-за неправильных настроек пользователя. В 2020 году другой исследователь сообщил о похожем открытии, когда статьи Базы знаний были общедоступны через теперь защищенную страницу пользовательского интерфейса.

Бен Де Бонт, директор по информационной безопасности ServiceNow, сказал: «ServiceNow стремится развивать сотрудничество с сообществом безопасности. Мы стремимся защищать данные наших клиентов, и исследователи безопасности являются важными партнерами в наших постоянных усилиях по улучшению безопасности наших продуктов».

Каковы неверные настройки базы знаний?

AppOmni обнаружила три обстоятельства, при которых компании подвергали свои базы знаний ServiceNow риску компрометации:

Если используется старая версия ServiceNow, где настройки по умолчанию для базы знаний разрешают публичный доступ, когда критерии пользователя не настроены. Если критерии пользователя «Любой пользователь» и «Любой пользователь для kb» используются в качестве разрешенных списков. Оба они предоставляют доступ неаутентифицированным пользователям, чего администраторы могут не осознавать. Если администраторы не настраивают списки запретов, позволяя внешним пользователям обходить средства управления доступом.

СМ.: 6 лучших инструментов управления, рисков и соответствия (GRC) на 2024 год

Как злоумышленники могут получить доступ к Базам знаний

Согласно доказательству концепции Костелло, злоумышленники могут получить доступ к неправильно настроенным Базам знаний через публичные виджеты, такие как виджет «Страница статьи базы знаний», который отображает содержимое определенной статьи Базы знаний.

Злоумышленник может автоматизировать запросы на поиск и доступ к статьям через виджет, используя инструмент Burp Suite. Это проще сделать с виджетом KB Article Page, который использует предсказуемый формат для идентификаторов статей «KBXXXXXXX», где X представляет собой положительное целое число.

Функция Intruder в Burp Suite может быстро перебирать эти целые числа и определять статьи, которые могут быть раскрыты непреднамеренно. Затем она может возвращать основной текст, который может содержать конфиденциальные данные нескольких незащищенных статей одновременно.

Как защитить базы знаний от несанкционированного доступа

Регулярно проводите диагностику контроля доступа к базе знаний.

Инструмент диагностики критериев пользователя ServiceNow позволяет администраторам определять, какие пользователи, как аутентифицированные, так и неаутентифицированные, имеют возможность доступа к базам знаний и отдельным статьям.

Перейдите по адресу /get_public_knowledge_bases.do, чтобы определить общедоступные базы знаний, и воспользуйтесь полным инструментом диагностики по адресу /km_diagnostics.do, чтобы определить уровень доступа общедоступных и частных пользователей к отдельным статьям.

Используйте бизнес-правила, чтобы запретить неавторизованный доступ к базам знаний по умолчанию.

Убедитесь, что бизнес-правило «sys_id 6c8ec5147711111016f35c207b5a9969», которое добавляет гостевого пользователя к критериям пользователя «Не может читать и не может вносить вклад», активировано для баз знаний.