.
Pesquisadores de segurança dizem que milhares de empresas estão potencialmente vazando segredos de seus artigos da base de conhecimento interna (KB) por meio de configurações incorretas do ServiceNow.
Aaron Costello e Dan Meged, das empresas de segurança AppOmni e Adaptive Shield, respectivamente, publicaram separadamente suas descobertas esta semana, concluindo que páginas definidas como “privadas” ainda podem ser lidas ao mexer nos widgets da base de conhecimento de um cliente do ServiceNow.
Esses widgets são essencialmente contêineres de informações usados para construir as páginas em artigos da KB. Eles podem incluir elementos de página que permitem que os usuários deixem feedback sobre os artigos, seja por meio de avaliações de estrelas ou comentários, por exemplo.
Nos casos em que a KB de uma organização é definida como “pública”, mas as páginas dentro dela são definidas como “privadas”, cada artigo da KB pode ser lido por meio dos widgets do ServiceNow.
A Meged estimou que cerca de 30% dos clientes do ServiceNow têm essa configuração defeituosa e podem estar expondo involuntariamente segredos armazenados em sua KB, como senhas de primeiro acesso para novos funcionários que se conectam a uma VPN da empresa, por exemplo.
Da mesma forma, Costello estimou que, depois de analisar mais de 1.000 instâncias diferentes do ServiceNow, 45% delas estavam expondo dados involuntariamente.
Os clientes que definem suas KBs e páginas da KB como “privadas” não estão expostos a esse problema e, mesmo que as páginas sejam definidas como “públicas”, mas a KB em si esteja definida como “privada”, esses clientes também estão protegidos do tipo de exposição descrito aqui.
Deve ser esclarecido que os artigos da KB são diferentes das páginas. As páginas da KB podem conter qualquer tipo de informação – pode ser um pedaço de conteúdo multimídia ou pode conter um artigo, ou uma combinação desses elementos. Os artigos da KB são o conteúdo real que as pessoas querem ler, e os widgets oferecem funcionalidades extras, como comentários ou classificações.
Os widgets em si também podem ser definidos como “privados”, mas são “públicos” por padrão, o que permite que qualquer usuário não autenticado os acesse. O widget KB Article Page pode ser explorado para recuperar conteúdo de artigo da KB porque facilita para intrusos em potencial localizar artigos da KB expostos.
Alguns widgets usam o UUID para localizar esse conteúdo, mas o widget Página de artigo da base de conhecimento permite que os artigos sejam localizados usando seu ID de artigo exclusivo, cujo formato é sempre “KB” seguido por sete números inteiros (KBXXXXXXX), possibilitando incrementar até que um artigo exposto seja encontrado.
Ao usar uma ferramenta de proxy de rede como o Burp Suite, as solicitações HTTP feitas à instância do ServiceNow podem ser interceptadas, assim como a variável JavaScript g_ck. Essa variável pode então ser conectada a uma solicitação POST junto com o ID do artigo que corresponde ao artigo exposto. O envio dessa solicitação retorna todos os tipos de dados relacionados a esse artigo, incluindo a totalidade de seu conteúdo.
“A capacidade deste widget de iterar rapidamente sobre números de KB para recuperar informações rapidamente é extremamente útil para um invasor que pode enviar solicitações em rápida sucessão e até mesmo facilitar o ataque a várias instâncias do ServiceNow simultaneamente sem muita largura de banda”, disse Costello.
Barreiras à segurança
Costello ofereceu mais informações sobre o motivo pelo qual os KBs do ServiceNow continuam tão mal configurados.
O pesquisador trabalhou com O Registro em uma história relacionada ao ServiceNow no ano passado, analisando o papel das Listas de Controle de Acesso (ACLs) que não estavam sendo usadas corretamente pelos clientes e, por sua vez, não estavam protegendo a exposição dos artigos da KB.
O que se seguiu foi a adição de novos controles de segurança para widgets para evitar esses tipos de exposições, e Atributos de Segurança foram adicionados à maioria das ACLs por padrão.
“Essa abordagem de dupla camada para a segurança de dados foi uma mudança bem-vinda”, ele disse. “Mas, infelizmente, essas mudanças não forneceram nenhuma proteção adicional para uma das fontes mais prevalentes de exposição de dados, a base de conhecimento.”
Fundamentalmente, ele disse que os widgets públicos usados no método descrito acima não receberam a atualização da ACL, e o fato de que a maioria dos artigos da KB nem mesmo são protegidos por ACLs — muitos clientes usam Critérios do Usuário — significava que a atualização da ACL não era uma proteção eficaz da KB em primeiro lugar.
O método de recuperação de artigos da KB pode ser mitigado aplicando os Critérios de Usuário apropriados, disse Costello. O Diagnóstico de Critérios de Usuário nativo da plataforma pode ajudar a identificar KBs que são expostos a usuários não autenticados também.
Introduzida em 2022, o pesquisador disse que “é fundamental que os administradores garantam que esta Regra de Negócios ainda esteja ativada em sua plataforma”. Mantê-la em vigor significa que os Usuários Convidados são bloqueados de acessar os materiais da Base de Conhecimento por padrão.
O Registro contatou a ServiceNow para uma declaração, mas ela não respondeu a tempo para publicação.
O dobro das descobertas
Confusos sobre o motivo pelo qual os dois pesquisadores, Costello e Meged, publicaram descobertas ligeiramente diferentes, mas essencialmente as mesmas, em 17 de setembro, cada um sem mencionar o outro, perguntamos a ambos como isso aconteceu.
Basicamente, há uma pequena disputa sobre quem encontrou os problemas primeiro. Falando com O RegCostello apontou para o reconhecimento da ServiceNow de que a AppOmni o descobriu. No entanto, a Adaptive Shield nos mostrou sinais de que eles estavam trabalhando na pesquisa desde 2023 e simplesmente cronometraram sua publicação para se alinhar com a equipe de comunicações da ServiceNow. ®
.
