Security
Celah Baru di ServiceNow Izinkan Penyerang Enumerasi Data yang Dilindungi
Peneliti keamanan menemukan kerentanan di platform ServiceNow yang memungkinkan aktor jahat melakukan enumeration attack untuk mengakses informasi terbatas tanpa otorisasi. Bug ini berpotensi mengungkap data sensitif di lingkungan perusahaan.
Ringkasan
Platform ServiceNow, yang banyak digunakan oleh perusahaan untuk manajemen layanan TI dan bisnis, ternyata memiliki celah keamanan yang dapat dimanfaatkan untuk mengintip data terbatas melalui teknik enumerasi. Peneliti dari Varonis mengungkap bahwa bug ini memungkinkan pengguna biasa memverifikasi keberadaan data yang seharusnya tersembunyi, seperti nama file, identitas pengguna, dan struktur internal sistem.
Bagaimana Celah Ini Bekerja?
- Eksploitasi terjadi melalui API ServiceNow yang tidak membatasi response metadata secara tepat.
- Penyerang bisa mengirim query RESTful API atau URL langsung, lalu mendapatkan respons berbeda tergantung apakah data tersebut ada atau tidak.
- Meskipun tidak memberikan isi data secara langsung, teknik ini bisa digunakan untuk memetakan struktur sistem, melakukan user enumeration, dan menemukan informasi bisnis sensitif.
Contoh Data yang Bisa Diungkap:
- Nama dan status dokumen internal
- Keberadaan akun pengguna meskipun tidak punya akses untuk melihatnya
- Informasi terkait tiket layanan, aset TI, atau konfigurasi sistem
Risiko Keamanan
- Insider threat dan penyerang eksternal bisa menggunakannya untuk tahap awal rekayasa sosial
- Dapat menjadi langkah awal untuk eskalasi hak akses atau phishing tertarget
- Tidak butuh eksploitasi kode atau malware, cukup manipulasi API yang terbuka
Tanggapan ServiceNow
- ServiceNow telah merilis pembaruan untuk menutup celah ini dan menyarankan semua pelanggan untuk segera melakukan update sistem mereka.
- Pengguna juga disarankan meninjau konfigurasi ACL (Access Control List) mereka agar tidak terlalu permisif terhadap respons metadata.
Saran untuk Administrator:
- Periksa dan update instance ServiceNow Anda ke versi terbaru
- Audit endpoint API publik atau terbuka
- Terapkan kontrol granular pada permission dan feedback sistem untuk pengguna non-admin
- Pantau aktivitas yang mencurigakan terkait enumeration behavior
