ServiceNow đã xác nhận một lỗ hổng bảo mật có thể cho phép các tác nhân độc hại truy vấn các bảng instance của khách hàng, làm dấy lên lo ngại về khả năng lộ lọt dữ liệu trên các môi trường doanh nghiệp. Lỗ hổng này, được công bố thông qua các kênh tình báo mối đe dọa, liên quan đến các biện pháp kiểm soát truy cập không đầy đủ có thể cho phép kẻ tấn công thực thi truy vấn chống lại các bảng instance backend mà không cần xác thực phù hợp. Sự cố này cho thấy rủi ro bảo mật ngày càng tăng từ các nền tảng SaaS.
Chi tiết lỗ hổng bảo mật ServiceNow
ServiceNow, một nền tảng được sử dụng rộng rãi cho quản lý dịch vụ CNTT (ITSM) và quy trình làm việc doanh nghiệp, lưu trữ dữ liệu vận hành và kinh doanh nhạy cảm. Các báo cáo ban đầu cho thấy lỗ hổng này có thể cho phép các tác nhân đe dọa truy cập dữ liệu có cấu trúc được lưu trữ trong các instance ServiceNow. Các bảng này thường chứa dữ liệu cấu hình, bản ghi người dùng, nhật ký sự cố và thông tin quy trình làm việc nội bộ.
Tác động tiềm ẩn của việc truy vấn dữ liệu trái phép
Việc truy vấn trái phép các dữ liệu này có thể cung cấp cho kẻ tấn công thông tin tình báo có giá trị để khai thác thêm, bao gồm di chuyển ngang hoặc leo thang đặc quyền. Lỗ hổng này, mặc dù chưa được gán mã CVE cụ thể trong thông tin ban đầu, tiềm ẩn những nguy cơ đáng kể.
ServiceNow đã thừa nhận lỗ hổng và cho biết họ đã thực hiện các bước để giảm thiểu vấn đề. Mặc dù công ty chưa công bố chi tiết kỹ thuật đầy đủ, có thể là để ngăn chặn việc khai thác tích cực, họ đã xác nhận rằng các bản cập nhật bảo mật và bản vá đã được triển khai để giải quyết lỗ hổng này.
Cơ chế hoạt động và nguyên nhân có thể xảy ra
Các nhà nghiên cứu bảo mật gợi ý rằng lỗ hổng có thể bắt nguồn từ việc xác thực yêu cầu API không đủ hoặc cấu hình sai danh sách kiểm soát truy cập (ACL). Trong những trường hợp này, kẻ tấn công có thể tạo các yêu cầu bỏ qua các kiểm tra xác thực thông thường, cho phép họ truy xuất dữ liệu từ các bảng bị hạn chế. Hiện tại, không có bằng chứng xác nhận về việc khai thác rộng rãi trong thực tế.
Khai thác và CVSS
Dù chưa có thông tin chi tiết về mã khai thác (exploit) hoặc điểm CVSS chính thức, mức độ nghiêm trọng tiềm ẩn của lỗ hổng CVE này là rõ ràng. Nếu kẻ tấn công có thể truy vấn các bảng instance, họ có thể thu thập thông tin nhạy cảm về cấu trúc mạng, người dùng và các quy trình kinh doanh của tổ chức. Điều này có thể là bước đầu tiên trong một chuỗi tấn công phức tạp hơn.
Ảnh hưởng đến hệ thống doanh nghiệp
Với việc ServiceNow được áp dụng rộng rãi trên các doanh nghiệp lớn, tổ chức chính phủ và các lĩnh vực cơ sở hạ tầng quan trọng, tác động tiềm ẩn của lỗ hổng này là rất lớn. Sự cố này nhấn mạnh tầm quan trọng của việc bảo mật các nền tảng SaaS, nơi một lỗ hổng duy nhất có thể ảnh hưởng đến nhiều khách hàng trên cơ sở hạ tầng dùng chung.
Các biện pháp phòng ngừa cho tổ chức
Các tổ chức sử dụng ServiceNow được khuyến nghị thực hiện các bước phòng ngừa ngay lập tức:
- Kiểm tra cấu hình truy cập: Rà soát và xác minh các cài đặt ACL và các biện pháp kiểm soát truy cập khác trong môi trường ServiceNow của bạn để đảm bảo chúng được cấu hình chính xác và chặt chẽ.
- Cập nhật bản vá kịp thời: Đảm bảo hệ thống ServiceNow của bạn luôn được cập nhật với các bản vá và bản sửa lỗi bảo mật mới nhất do ServiceNow phát hành.
- Giám sát hoạt động bất thường: Triển khai các giải pháp giám sát và ghi nhật ký để phát hiện các truy vấn bất thường hoặc truy cập trái phép vào các bảng dữ liệu nhạy cảm.
Từ góc độ mối đe dọa, lỗ hổng này phù hợp với các chiến thuật phổ biến được quan sát thấy trong các cuộc tấn công vào nền tảng doanh nghiệp, trong đó các đối tượng tấn công nhắm mục tiêu vào các cấu hình sai hoặc các biện pháp kiểm soát truy cập yếu để giành quyền kiểm soát trong các hệ thống dựa trên đám mây.
Thông tin tình báo về mối đe dọa và IOC
Mặc dù không có thông tin chi tiết về các chỉ số xâm nhập (IOC) cụ thể như tên mã độc hay địa chỉ IP độc hại được công bố, bản chất của lỗ hổng gợi ý rằng các tác nhân có thể sử dụng các kỹ thuật sau để khai thác:
- Tạo yêu cầu API độc hại: Soạn thảo các yêu cầu API tùy chỉnh để bỏ qua các kiểm tra xác thực và ủy quyền thông thường.
- Khai thác lỗ hổng xác thực: Lợi dụng các điểm yếu trong quy trình xác thực của ServiceNow để truy cập trái phép.
- Thu thập thông tin tình báo: Sử dụng dữ liệu thu thập được để lập kế hoạch cho các giai đoạn tiếp theo của cuộc tấn công.
Sự cố này nhấn mạnh tầm quan trọng của việc giám sát liên tục, vá lỗi kịp thời và quản lý truy cập nghiêm ngặt trong môi trường đám mây. Các nhóm bảo mật nên luôn cảnh giác và chủ động đánh giá mức độ tiếp xúc của họ, đặc biệt là trong các môi trường mà ServiceNow đóng vai trò trung tâm trong quy trình vận hành.
Để có thêm thông tin chi tiết về các lỗ hổng bảo mật và các mối đe dọa mạng mới nhất, bạn có thể tham khảo các nguồn uy tín như CISA.
