Plus tôt cette semaine, ServiceNow a annoncé sur son site d’assistance que des erreurs de configuration au sein de la plateforme pourraient entraîner un « accès involontaire » à des données sensibles. Pour les organisations qui utilisent ServiceNow, cette exposition à la sécurité constitue une préoccupation majeure qui aurait pu entraîner d’importantes fuites de données sensibles de l’entreprise. ServiceNow a depuis pris des mesures pour résoudre ce problème.
Cet article analyse entièrement le problème, explique pourquoi cette mauvaise configuration critique de l’application aurait pu avoir de graves conséquences pour les entreprises, ainsi que les mesures correctives que les entreprises auraient prises sans le correctif ServiceNow. (Bien qu’il soit recommandé de vérifier que le correctif a fermé l’exposition de l’organisation.)
En un mot
ServiceNow est une plate-forme basée sur le cloud utilisée pour automatiser la gestion des services informatiques, la gestion des opérations informatiques et la gestion des activités informatiques pour le service client, ainsi que les ressources humaines, les opérations de sécurité et une grande variété de domaines supplémentaires. Cette application SaaS est considérée comme l’une des applications les plus critiques pour l’entreprise en raison de sa nature infrastructurelle, de son extensibilité en tant que plate-forme de développement et de son accès aux données confidentielles et propriétaires dans toute l’organisation.
Simple List est un widget d’interface qui extrait les données stockées dans des tableaux et les utilise dans des tableaux de bord. La configuration par défaut de Simple List permet aux utilisateurs non authentifiés d’accéder à distance aux données des tables. Ces tableaux incluent des données sensibles, notamment le contenu des tickets informatiques, les bases de connaissances internes classifiées, les détails des employés, etc.
Ces erreurs de configuration sont en fait en place depuis l’introduction des listes de contrôle d’accès en 2015. À ce jour, aucun incident n’a été signalé. Cependant, compte tenu de la récente publication de l’étude sur les fuites de données, laisser cette question sans réponse aurait pu exposer les entreprises plus que jamais.
Cette exposition est le résultat d’une seule configuration par défaut – et il existe des centaines de configurations couvrant le contrôle d’accès, les fuites de données, la protection contre les logiciels malveillants, etc., qui doivent être sécurisées et maintenues. Pour les organisations utilisant une solution SSPM (SaaS Security Posture Management), comme Adaptive Shield, les organisations peuvent plus facilement identifier les erreurs de configuration à risque et voir si elles sont conformes ou non (voir l’image 1 ci-dessous).
Découvrez comment SSPM sécurise les applications critiques de votre pile SaaS
À l’intérieur des mauvaises configurations de ServiceNow
Il est important de rappeler que ce problème n’est pas dû à une vulnérabilité dans le code de ServiceNow mais à une configuration existant au sein de la plateforme.
Ce problème provient des contrôles de sécurité dans un widget de liste de contrôle d’accès (ACL) de ServiceNow appelé Simple List, qui place les enregistrements dans des tableaux facilement lisibles. Ces tableaux organisent les informations provenant de plusieurs sources et ont des configurations avec un paramètre par défaut d’accès public.
Étant donné que ces tables constituent le cœur de ServiceNow, le problème n’était pas contenu dans un seul paramètre pouvant être résolu. Il fallait y remédier à plusieurs endroits de l’application en combinaison avec l’utilisation du widget d’interface utilisateur, et dans tous les locataires. Pour compliquer encore davantage le problème, la modification d’un seul paramètre pouvait interrompre les flux de travail existants connectés aux tables de liste simple, provoquant ainsi de graves perturbations des processus existants.
Étapes de remédiation
Publié par ServiceNow dans leur article de la base de connaissances – Informations générales | Mauvaise configuration potentielle du widget de liste publique, l’évaluation de l’exposition et les mesures correctives comprennent :
- Examinez les listes de contrôle d’accès (ACL) qui sont entièrement vides ou qui contiennent le rôle « Public »
- Examinez les widgets publics et définissez l’indicateur « Public » sur false lorsqu’il n’est pas aligné sur leurs cas d’utilisation.
- Envisagez d’utiliser des mesures de contrôle d’accès plus strictes à l’aide des contrôles intégrés proposés par ServiceNow, tels que le contrôle d’accès par adresse IP ou l’authentification adaptative.
- Pensez à installer ServiceNow Plugin de rôles explicites. ServiceNow indique que le plugin empêche les utilisateurs externes d’accéder aux données internes et que les instances utilisant ce plugin ne sont pas affectées par ce problème (le plugin garantit que chaque ACL déclare au moins une exigence de rôle)
Ces étapes correctives recommandées peuvent toujours être utilisées pour les organisations exposées (même après le correctif), car cela vaut la peine de les vérifier pour garantir une sécurité optimale dans toute l’organisation.
En savoir plus sur l’automatisation de votre sécurité ServiceNow
Automatisez la prévention des fuites de données pour ServiceNow
Les organisations qui utilisent une solution SaaS Security Posture Management (SSPM), comme Adaptive Shield, peuvent obtenir une visibilité sur les configurations de ServiceNow et de toute autre application SaaS et résoudre tout problème de configuration.
Les SSPM alertent les équipes de sécurité en cas de configurations à haut risque, leur permettant d’ajuster leurs paramètres et d’empêcher tout type de fuite de données. De cette façon, les entreprises acquièrent une meilleure compréhension de leur surface d’attaque, de leur niveau de risque et de leur posture de sécurité grâce à un SSPM.
Cliquez ici pour demander une démo et obtenir une évaluation de toute exposition à une application
