Un défaut de configuration trivial identifié sur de nombreuses instances Service Now permettant d’importantes fuites de données

Un défaut de configuration trivial identifié sur de nombreuses instances Service Now permettant d’importantes fuites de données

Un chercheur en cybersécurité a publié le 5 juin un document sur la plateforme Medium afin de décrire un problème de configuration important identifié sur des instances Service Now.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Ce dernier a pu identifier que l’accès aux pages du module de Knowledge Base ne nécessitait pas toujours une authentification. Ainsi il lui a été possible d’accéder à des données potentiellement très sensibles via une simple requête :

  • https://company.service-now.com/kb_view_customer.do?sysparm_article=KB00xxxx

Les quatre derniers chiffres peuvent être recherchés via des outils automatiques afin de lister toutes les pages accessibles sans authentification.

Il a ainsi pu identifier les documents suivants :

  • des procédures internes, des diagrammes, des plans de développements ;
  • des mots de passe et token pour des comptes de domaine interne ;
  • des données pour des demandes de changement (adresses IP par exemple) ;
  • des informations personnelles de clients.

Au travers de programmes de Bug-Bounty disponibles pour diverses structures et sociétés, l’auteur de la découverte indique que cette découverte lui a permis de générer environ $30,000 de gains.

Le CERT-XMCO vous recommande de vérifier et corriger le cas échéant le paramétrage de votre instance afin d’éviter toute fuite de données.


Référence

Multiple Information exposed due to misconfigured Service-now ITSM instances

Référence XMCO

CXN-2020-2977


Arthur Gautier