Los usuarios de ServiceNow, una plataforma basada en la nube utilizada para gestionar servicios y procesos de TI, podrían estar exponiendo sin saberlo información confidencial, incluidos nombres, números de teléfono, detalles del sistema interno y credenciales activas.
La mala configuración de las bases de conocimiento (plataformas de autoservicio dentro de ServiceNow donde los usuarios pueden crear, almacenar y compartir información como artículos y guías) podría llevar a que personas no autorizadas obtengan acceso al sistema. Muchas organizaciones utilizan las bases de conocimiento como depósitos de información interna confidencial, como cómo restablecer las contraseñas de la empresa, cómo responder a un ciberataque, datos relacionados con los procesos de recursos humanos y más.
Según un nuevo blog del proveedor de plataformas de seguridad SaaS AppOmni, alrededor del 60% de las exposiciones involucran versiones anteriores de bases de conocimiento que están configuradas para permitir el acceso público de forma predeterminada. Otros tienen “criterios de usuario” (reglas que definen condiciones específicas para que los usuarios accedan o contribuyan a las bases de conocimiento) que otorgan acceso involuntariamente a usuarios no autenticados.
VER: ServiceNow vs Jira Service Management
ServiceNow es utilizado por el 85% de las empresas Fortune 500 y actualmente más de mil instancias están configuradas incorrectamente. Se descubrió que muchas organizaciones con múltiples instancias de ServiceNow tenían controles de acceso a la base de conocimientos mal configurados constantemente, lo que indica que las configuraciones se clonaron entre instancias o que existe un malentendido fundamental sobre cómo funcionan.
Aaron Costello, jefe de investigación de seguridad SaaS en AppOmni, dijo: “Esto resalta la necesidad urgente de que las empresas verifiquen y actualicen rutinariamente sus configuraciones de seguridad para evitar el acceso no autorizado y proteger sus activos de datos.
“Comprender estos problemas y cómo mitigarlos es esencial para mantener una seguridad sólida en entornos SaaS empresariales”.
Esta no es la primera vez que se descubre que ServiceNow ha estado exponiendo datos confidenciales debido a configuraciones incorrectas del usuario. En 2020, otro investigador informó un hallazgo similar en el que los artículos de la base de conocimientos eran accesibles públicamente a través de una página de interfaz de usuario ahora segura.
Ben De Bont, director de seguridad de la información de ServiceNow, dijo: “ServiceNow está comprometido a fomentar la colaboración con la comunidad de seguridad. Estamos comprometidos a proteger los datos de nuestros clientes y los investigadores de seguridad son socios importantes en nuestros esfuerzos continuos para mejorar la seguridad de nuestros productos”.
¿Cuáles son las configuraciones erróneas de la base de conocimientos?
AppOmni descubrió tres circunstancias en las que las empresas estaban poniendo en riesgo sus bases de conocimientos de ServiceNow:
- Si utiliza una versión anterior de ServiceNow donde la configuración predeterminada de la base de conocimientos permite el acceso público cuando los criterios de usuario no están configurados.
- Si los criterios de usuario “Cualquier usuario” y “Cualquier usuario por kb” se utilizan como listas de permitidos. Ambos otorgan acceso a usuarios no autenticados, lo que es posible que los administradores no se den cuenta.
- Si los administradores no configuran listas de rechazo, se permite a los usuarios externos eludir los controles de acceso.
VER: Las 6 mejores herramientas de gobernanza, riesgo y cumplimiento (GRC) para 2024
Cómo los atacantes pueden obtener acceso a las bases de conocimiento
Según la prueba de concepto de Costello, los atacantes pueden obtener acceso a bases de conocimiento mal configuradas a través de widgets públicos, como el widget “Página de artículo de KB”, que muestra el contenido de un artículo específico de la base de conocimiento.
Un atacante puede automatizar las solicitudes para buscar y acceder a artículos a través del widget utilizando una herramienta llamada Burp Suite. Esto es más fácil con el widget de página de artículo de KB, que utiliza un formato predecible para los ID de artículo de “KBXXXXXXX”, donde X representa un número entero positivo.
La función Intruder de Burp Suite puede iterar rápidamente sobre estos números enteros e identificar artículos que pueden quedar expuestos sin querer. Luego puede devolver el texto del cuerpo, que puede contener datos confidenciales de varios artículos no seguros a la vez.
Cómo proteger las bases de conocimientos contra el acceso no autorizado
Ejecute diagnósticos periódicos en los controles de acceso a la base de conocimientos
La herramienta de diagnóstico User Criteria de ServiceNow permite a los administradores determinar qué usuarios, tanto autenticados como no autenticados, tienen la capacidad de acceder a bases de conocimientos y artículos individuales.
Navegue a /get_public_knowledge_bases.do para identificar las bases de conocimiento públicas y la herramienta de diagnóstico completa en /km_diagnostics.do para identificar el nivel de acceso de los usuarios públicos y no públicos a artículos individuales.
Utilice reglas comerciales para denegar el acceso no autenticado a las bases de conocimiento de forma predeterminada
Asegúrese de que la regla comercial “sys_id 6c8ec5147711111016f35c207b5a9969”, que agrega el usuario invitado a los criterios de usuario “No puede leer ni contribuir”, esté activada para las bases de conocimiento.
