Un défaut de configuration trivial identifié sur de nombreuses instances Service Now permettant d'importantes fuites de données

Un chercheur en cybersécurité a publié le 5 juin un document sur la plateforme Medium afin de décrire un problème de configuration important identifié sur des instances Service Now.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Ce dernier a pu identifier que l’accès aux pages du module de Knowledge Base ne nécessitait pas toujours une authentification. Ainsi il lui a été possible d’accéder à des données potentiellement très sensibles via une simple requête :

  • https://company.service-now.com/kb_view_customer.do?sysparm_article=KB00xxxx

Les quatre derniers chiffres peuvent être recherchés via des outils automatiques afin de lister toutes les pages accessibles sans authentification.

Il a ainsi pu identifier les documents suivants :

  • des procédures internes, des diagrammes, des plans de développements ;
  • des mots de passe et token pour des comptes de domaine interne ;
  • des données pour des demandes de changement (adresses IP par exemple) ;
  • des informations personnelles de clients.

Au travers de programmes de Bug-Bounty disponibles pour diverses structures et sociétés, l’auteur de la découverte indique que cette découverte lui a permis de générer environ $30,000 de gains.

Le CERT-XMCO vous recommande de vérifier et corriger le cas échéant le paramétrage de votre instance afin d’éviter toute fuite de données.

Référence

Multiple Information exposed due to misconfigured Service-now ITSM instances

Référence XMCO

CXN-2020-2977

Arthur Gautier

Découvrir d'autres articles