Usuarios de ServicioAhorauna plataforma basada en la nube utilizada para administrar servicios y procesos de TI, podría estar exponiendo sin saberlo información confidencial, incluidos nombres, números de teléfono, detalles del sistema interno y credenciales activas.
La configuración incorrecta de las bases de conocimiento (plataformas de autoservicio dentro de ServiceNow donde los usuarios pueden crear, almacenar y compartir información, como artículos y guías) podría provocar que personas no autorizadas obtengan acceso al sistema. Muchas organizaciones utilizan las bases de conocimiento como repositorios de información interna confidencial, como, por ejemplo, cómo restablecer las contraseñas de la empresa, cómo responder a un ciberataque, datos relacionados con los procesos de RR. HH., etc.
Según un Nuevo blog Según el proveedor de plataformas de seguridad SaaS AppOmni, alrededor del 60 % de las exposiciones involucran versiones anteriores de bases de conocimiento que están configuradas para permitir el acceso público de manera predeterminada. Otras tienen “criterios de usuario” (reglas que definen condiciones específicas para que los usuarios accedan o contribuyan a las bases de conocimiento) que otorgan acceso involuntariamente a usuarios no autenticados.
VER: Gestión de servicios de ServiceNow frente a Jira
El 85 % de las empresas de la lista Fortune 500 utilizan ServiceNow y, en la actualidad, más de mil instancias están configuradas de forma incorrecta. Se descubrió que muchas organizaciones con varias instancias de ServiceNow configuraban incorrectamente los controles de acceso a la base de conocimientos, lo que indica que las configuraciones se clonaron en las distintas instancias o que existe un malentendido fundamental sobre cómo funcionan.
Aaron Costello, jefe de investigación de seguridad de SaaS en AppOmni, dijo: “Esto resalta la necesidad urgente de que las empresas verifiquen y actualicen rutinariamente sus configuraciones de seguridad para evitar el acceso no autorizado y proteger sus activos de datos.
“Comprender estos problemas y saber cómo mitigarlos es esencial para mantener una seguridad sólida en los entornos SaaS empresariales”.
Esta no es la primera vez que se descubre que ServiceNow expone datos confidenciales debido a configuraciones incorrectas de los usuarios. En 2020, otro investigador informaron un hallazgo similar donde los artículos de la Base de conocimiento eran accesibles públicamente a través de una página de interfaz de usuario ahora segura.
Ben De Bont, director de seguridad de la información de ServiceNow, afirmó: “ServiceNow se compromete a fomentar la colaboración con la comunidad de seguridad. Nos comprometemos a proteger los datos de nuestros clientes, y los investigadores de seguridad son socios importantes en nuestros esfuerzos continuos por mejorar la seguridad de nuestros productos”.
¿Cuáles son las configuraciones incorrectas de la Base de conocimiento?
AppOmni descubrió tres circunstancias en las que las empresas ponían en riesgo sus bases de conocimiento de ServiceNow:
- Si utiliza una versión anterior de ServiceNow donde la configuración predeterminada para la Base de conocimiento permite el acceso público cuando los criterios de usuario no están configurados.
- Si se utilizan los criterios de usuario “Cualquier usuario” y “Cualquier usuario para la base de conocimientos” como listas de permitidos, ambos otorgan acceso a usuarios no autenticados, algo que los administradores pueden no notar.
- Si los administradores no configuran listas de bloqueados, permiten que los usuarios externos eludan los controles de acceso.
VER: Las 6 mejores herramientas de gobernanza, riesgo y cumplimiento (GRC) para 2024
Cómo los atacantes pueden obtener acceso a las bases de conocimiento
Según la prueba de concepto de Costello, los atacantes pueden obtener acceso a bases de conocimiento mal configuradas a través de widgets públicos, como el widget “KB Article Page”, que muestra el contenido de un artículo específico de la base de conocimiento.
Un atacante puede automatizar las solicitudes para buscar y acceder a artículos a través del widget utilizando una herramienta llamada Burp Suite. Esto es más fácil con el widget KB Article Page, que utiliza un formato predecible para los identificadores de artículos de “KBXXXXXXX”, donde X representa un número entero positivo.
La función Intruder de Burp Suite puede iterar rápidamente sobre estos números enteros e identificar artículos que pueden quedar expuestos de forma involuntaria. Luego, puede devolver el texto del cuerpo, que puede contener datos confidenciales de varios artículos no protegidos a la vez.
Cómo proteger las bases de conocimiento contra el acceso no autorizado
Ejecutar diagnósticos periódicos sobre los controles de acceso a la Base de conocimientos
La herramienta de diagnóstico de criterios de usuario de ServiceNow permite a los administradores determinar qué usuarios, tanto autenticados como no autenticados, tienen la capacidad de acceder a las bases de conocimiento y a artículos individuales.
Navegue a /get_public_knowledge_bases.do para identificar bases de conocimiento públicas y a la herramienta de diagnóstico completa en /km_diagnostics.do para identificar el nivel de acceso de los usuarios públicos y no públicos a artículos individuales.
Utilice reglas de negocio para denegar el acceso no autenticado a las bases de conocimiento de forma predeterminada
Asegúrese de que la regla de negocio “sys_id 6c8ec5147711111016f35c207b5a9969”, que agrega al usuario invitado a los criterios de usuario “No puede leer y no puede contribuir”, esté activada para las bases de conocimiento.
