超过 1000 个 ServiceNow 实例被发现泄露企业知识库数据

主要观点总结

超过 1,000 个 ServiceNow 企业实例被发现将包含敏感公司信息的知识库 (KB) 文章暴露给外部用户和潜在威胁者。这篇文章介绍了问题的严重性、产生的影响以及可能的解决方案。

关键观点总结

关键观点1: ServiceNow 知识库暴露敏感信息

ServiceNow 的知识库包含可能涉及组织敏感信息的内容，如个人身份信息、内部系统详细信息等。这些文章并非公开发布，但可能由于配置错误而暴露给外部用户。

关键观点2: ACL 更新并未完全解决问题

尽管 ServiceNow 在 2023 年推出了安全更新，引入了新的访问控制列表 (ACL)，但大多数知识库仍使用用户标准权限系统，使得更新的效果有限。一些面向公众的、暴露客户信息的小部件也没有收到新的 ACL 更新。

关键观点3: 存在暴力破解知识库文章编号的风险

恶意分子可以通过向易受攻击的端点发送大量 HTTP 请求来暴力破解知识库文章编号，从而访问敏感信息。AppOmni 开发了一个概念验证攻击来说明这一风险。

关键观点4: 建议的防护措施

为了保护 KB 文章免受未经授权的访问，AppOmni 建议 SecureNow 管理员采取一系列措施，包括设置适当的用户标准、激活开箱即用 (OOB) 规则等。

文章预览

超过 1,000 个配置错误的 ServiceNow 企业实例被发现将包含敏感公司信息的知识库 (KB) 文章暴露给外部用户和潜在威胁者。暴露的信息包括个人身份信息 、内部系统详细信息、用户凭据、实时生产系统的访问令牌以及取决于知识库主题的其他重要信息。 尽管 ServiceNow 在 2023 年的更新明确旨在改进访问控制列表 (ACL)，但这仍然是一个重大问题。 公开的知识库文章 ServiceNow 是一个基于云的软件平台，企业使用它来管理跨不同部门和流程的数字工作流。它是一个完整的解决方案，包含 IT 服务和 IT 运营管理、人力资源任务、客户服务管理、安全工具集成和知识库。 知识库功能充当文章存储库，用户可以在其中共享操作指南、常见问题解答和其他内部程序，供有权查看这些内容的用户使用。但是，由于许多此类文章并非公开发布，因此它们可能包含有关组织 ………………………………