ServiceNow Alami Insiden Keamanan, Data Sensitif Pelanggan Dieksploitasi Lewat Celah API
Perusahaan penyedia layanan cloud enterprise, ServiceNow, memberikan peringatan terkait insiden keamanan yang melanda platform mereka. Penyerang dilaporkan berhasil memanfaatkan celah akses tanpa otentikasi (unauthenticated access) pada salah satu titik akhir (API endpoint), yang memungkinkan mereka melakukan kueri dan mengambil data dari instance milik pelanggan.
Langkah antisipasi dilakukan secara tertutup oleh ServiceNow melalui buletin dukungan teknis dan pembukaan kasus dukungan langsung (support cases) setelah mendeteksi adanya aktivitas janggal pada sistem mereka. Melalui buletin yang berada di balik portal log masuk pelanggan tersebut, ServiceNow menyatakan telah menerapkan pembaruan keamanan pada seluruh instance pelanggan yang mereka kelola sejak 5 Juni 2026.
Pembaruan tersebut secara khusus mengubah konfigurasi pada API endpoint terkait untuk membatasi akses, sehingga kini hanya pengguna yang telah terotentikasi yang dapat mengaksesnya. Meski demikian, pihak ServiceNow mengonfirmasi bahwa penyerang telah lebih dulu mengeksploitasi celah ini dan berhasil membaca tabel data pada instance pelanggan yang terdampak.
Potensi Kebocoran Data Enterprise
ServiceNow tidak merinci secara detail jenis data apa saja yang berhasil diakses oleh penyerang selama aksi tersebut berlangsung. Namun, secara umum, instance ServiceNow digunakan oleh perusahaan untuk menyimpan berbagai informasi bisnis yang sangat sensitif.
Data tersebut mencakup tiket dukungan TI, catatan data karyawan, dokumentasi internal perusahaan, inventaris aset, laporan insiden keamanan, data alur kerja (workflow), hingga detail konfigurasi untuk sistem dan layanan korporat. Belakangan ini, informasi di dalam tiket dukungan memang menjadi target populer bagi para aktor ancaman. Tiket-tiket tersebut kerap kali berisi kredensial, token API, dokumen internal, hingga rahasia otentikasi yang tidak sengaja dibagikan selama proses pemecahan masalah (troubleshooting).
Berdasarkan investigasi awal, insiden ini dilaporkan berdampak pada pelanggan yang menggunakan platform rilisan versi “Australia”, atau pelanggan dengan versi lebih lama yang melakukan perubahan konfigurasi tertentu pada sistem mereka. ServiceNow juga menyatakan masih mengevaluasi apakah mereka akan merilis kode CVE resmi untuk kerentanan ini.
Indikator Serangan dan Langkah Mitigasi
Meskipun ServiceNow belum membagikan detail teknis secara publik, diskusi di kalangan administrator sistem mengungkapkan bahwa masalah ini diduga kuat berkaitan dengan REST endpoint di jalur /api/now/related_list_edit/create. Jalur tersebut awalnya dikonfigurasi dengan parameter requires_authentication=false, yang kemudian diubah menjadi true melalui pembaruan keamanan darurat kemarin.
Para administrator yang melakukan pelacakan mandiri membagikan beberapa indikator serangan (indicators of compromise), termasuk adanya permintaan API yang mencurigakan dari alamat IP 51.159.98.241.
Untuk mengamankan lingkungan perusahaan, para pengelola sistem diimbau untuk segera melakukan langkah-langkah berikut:
- Memeriksa log aktivitas ServiceNow untuk mendeteksi adanya permintaan akses ke
/api/now/related_list_edit, khususnya yang berasal dari IP51.159.98.241. - Meninjau kembali tiket-tiket dukungan dan rekaman data yang sempat terekspos untuk memastikan tidak ada informasi rahasia yang bocor.
- Melakukan rotasi berkala pada kredensial, kata sandi, atau token API yang pernah dibagikan melalui alur kerja dukungan teknis.
- Memastikan fitur pencatatan log API (API logging) selalu dalam kondisi aktif untuk mempermudah audit keamanan.
Sumber: ServiceNow Support Advisory
