Se ha emitido una alerta de seguridad de alto nivel luego de que ServiceNow confirmara un incidente y una vulnerabilidad asociada a configuraciones inadecuadas de control de acceso en su plataforma. El fallo permite a actores de amenazas no autenticados ejecutar consultas directamente contra las tablas de datos de la instancia del cliente en el backend, lo que expone información corporativa altamente sensible almacenada en sus módulos de gestión de servicios (ITSM) y flujos de trabajo empresariales.
Veredicto Analítico
- Estado: Confirmado (Actualizaciones de seguridad aplicadas recientemente por el fabricante en entornos hosted para limitar el acceso del endpoint).
- Confianza: Alta (Basado en el reconocimiento oficial de ServiceNow y en la telemetría de explotación activa detectada a través de canales de inteligencia).
- Riesgo para SOC TDIR: Alto. ServiceNow suele ser el repositorio central que alberga tickets de soporte (que a menudo contienen contraseñas o tokens), mapas de red, inventarios de activos de TI (CMDB) y datos de empleados. Una exfiltración desde estas tablas facilita de manera crítica campañas posteriores de ingeniería social y movimientos laterales.
- Urgencia operativa: Alta. Si bien el fabricante ha implementado correcciones en la nube, es mandatorio auditar de forma retrospectiva los registros transaccionales para verificar si la instancia corporativa fue blanco de extracción de datos antes del parche.
- Base del veredicto: La explotación confirmada de endpoints de la API mal configurados que procesaban peticiones sin validar los tokens de sesión de manera estricta.
Hallazgos Clave
- Componente Afectado: APIs de recursos y endpoints del sistema (como la ruta /api/now/related_list_edit), donde ciertas banderas de validación de seguridad no operaban correctamente bajo configuraciones específicas.
- Naturaleza del Fallo: Omisión de autenticación / Control de Acceso Inadecuado (Broken Access Control). Las investigaciones apuntan a que el parámetro subyacente de requires_authentication podía ser eludido o se encontraba deshabilitado en ciertas rutas, permitiendo consultas externas anónimas.
- Impacto Directo: Acceso de lectura no autorizado a los registros internos, posible exposición de bases de conocimiento privadas, listados de infraestructura y datos confidenciales adjuntos en los casos de la mesa de ayuda.
- Estatus de Explotación: Se ha observado actividad anómala en la naturaleza donde atacantes automatizados abusaron de este fallo para realizar peticiones de datos (scraping) contra un subconjunto de instancias susceptibles.
Análisis Técnico
- Vector de Ataque y Acceso Inicial: Un atacante, sin necesidad de poseer credenciales legítimas ni acceso previo a la red interna, envía solicitudes web estructuradas de forma anómala hacia los endpoints expuestos de la instancia pública de ServiceNow de la empresa objetivo (ej. https://[instancia].service-now.com/api/…). El servidor, al procesar la ruta sin forzar el contexto de seguridad del usuario final, ejecuta la consulta sobre la base de datos y devuelve la información corporativa en la respuesta.
TTPs (MITRE ATT&CK):
- Acceso Inicial: Explotación de aplicación expuesta de cara al público (Exploit Public-Facing Application).
- Recolección: Recolección pasiva de datos en repositorios de información de TI (Data from Information Repositories).
- Exfiltración: Extracción de datos a través de servicios web API legítimos (Exfiltration Over Web Service).
- Contexto de la Amenaza: En los ecosistemas SaaS empresariales, las plataformas de ITSM son consideradas “minas de oro” por los corredores de acceso (IABs). Los atacantes buscan acceder a los tickets de soporte sabiendo que los administradores a menudo comparten fragmentos de código, llaves de API o configuraciones de red internas al documentar la resolución de problemas técnicos.
Recomendaciones Operativas
Para Administradores de la Plataforma ServiceNow (Acción Inmediata)
- Auditoría de API REST Scripted: Revisar inmediatamente la tabla de recursos de la API REST (Scripted REST API) de su instancia. Asegurarse de que el parámetro requires_authentication se encuentre estrictamente habilitado en todos los endpoints personalizados, a menos que exista un caso de uso técnico justificado para mantenerlos públicos.
- Revisión de Listas de Control de Acceso (ACLs): Inspeccionar el uso del rol public o guest dentro de las políticas de seguridad de la plataforma. Remover permisos de lectura indiscriminados sobre tablas core y restringir la visibilidad utilizando ACLs condicionales robustas.
Para el SOC (Monitoreo y Detección)
- Revisión de Logs Transaccionales: Auditar los Transaction Logs de ServiceNow buscando picos de actividad inusual originada por el usuario Guest (lo que indica la falta de contexto de autenticación) ejecutando consultas con un alto volumen de bytes transferidos o interactuando repetitivamente con rutas de la API como /api/now/related_list_edit.
- Correlación de IoCs Perimetrales: Cruzar las direcciones IP de origen de las peticiones no autenticadas contra fuentes de inteligencia (Threat Feeds) para detectar escáneres masivos; direcciones como 51.159.98.241 han sido documentadas en la fase inicial de estos escaneos oportunistas.
Para CTI (Inteligencia de Amenazas)
- Monitoreo de Extorsión de Datos: Mantener búsquedas proactivas en foros clandestinos, prestando especial atención a ventas o filtraciones de bases de datos que ofrezcan listados de empleados, esquemas de infraestructura corporativa o manuales internos, siendo estos los indicadores clave de que una fuga de datos ITSM ha sido exitosa y comercializada.
