ServiceNow-Schwachstelle wird aktiv ausgenutzt – Veri Sızıntısı
Live
Suche
Unternehmen
Über uns Gründernotiz Presse & Medien Datenschutzerklärung Nutzungsbedingungen FAQ Brand Kit
Produkte
HUBOne HUBCorp Demnächst Veri Sızıntısı Android Demnächst Veri Sızıntısı iOS Demnächst Veri Sızıntısı Huawei Demnächst Breach Radar Argus Flow Argus Engine LivePlatform
Technologien
Was ist Argus AI? In HUBOne ausprobieren Was ist Argus Flow? Was ist Argus Engine?
Blog Kontakt

ServiceNow-Lücke für Datendiebstahl ausgenutzt

Die Cybersicherheitswelt ist in Aufruhr über eine Sicherheitslücke beim Enterprise-Cloud-Computing-Riesen ServiceNow, die aktiv ausgenutzt wird. Unbekannte Angreifer haben diese Schwachstelle genutzt, um sich unbefugten Zugriff auf zahlreiche Kundeninstanzen zu verschaffen.

ServiceNow-Logo mit einem Warnschild, das eine Cybersicherheitslücke und ein Datenleck darstellt.

Was ist passiert

Die ServiceNow-Plattform, ein Rückgrat der Unternehmenswelt, steht im Zentrum eines der meistdiskutierten Cybersicherheitsvorfälle der letzten Zeit. Einer Gruppe von Cyberangreifern gelang es, durch Ausnutzung einer Schwachstelle, die mittlerweile als "InstanceJacker" bezeichnet wird und in einer der Kernkomponenten der Plattform liegt, in Dutzende, vielleicht sogar Hunderte von Kundeninstanzen einzudringen, darunter auch die von Großkonzernen. Der Vorfall wurde nicht durch das Sicherheitsteam von ServiceNow selbst aufgedeckt, sondern durch die Warnung einer externen Cybersicherheitsfirma, die verdächtige Aktivitäten in den Systemen mehrerer ihrer Kunden bemerkte. Diese Tatsache allein zeigt, wie leise und tiefgreifend der Angriff fortschritt.

Es wird geschätzt, dass die Angreifer diese Schwachstelle seit mindestens drei Monaten aktiv ausnutzen. In dieser Zeit haben sie sich in diesen digitalen Festungen, die die sensibelsten Betriebsdaten von Unternehmen beherbergen, frei bewegt. ServiceNow bietet Tausenden von großen Unternehmen weltweit Dienstleistungen wie IT Service Management (ITSM), IT Operations Management (ITOM) und die Automatisierung von Arbeitsabläufen an. Das Eindringen in das System eines Kunden kann daher den Zugriff auf die gesamten internen Abläufe, Mitarbeiterinformationen, Finanzberichte und sogar Geschäftsgeheimnisse dieses Unternehmens bedeuten. Derzeit ist die genaue Anzahl der betroffenen Unternehmen noch unklar, aber erste Berichte deuten darauf hin, dass die Auswirkungen weitreichend sein könnten.

Kompromittierte Daten

Die Art der Daten, auf die die Angreifer zugegriffen haben, zeigt die Schwere des Vorfalls. Ersten Analysen zufolge variieren die kompromittierten Daten je nachdem, wie jedes Unternehmen ServiceNow nutzt, aber die gemeinsamen Kategorien sind ziemlich beunruhigend. Hier sind einige der Datentypen, die vermutlich kompromittiert wurden:

Wurde Ihre E-Mail geleakt? Kostenlos prüfen — Ergebnis in Sekunden.

Jetzt Prüfen →
  • Personenbezogene Daten (PII): Namen von Mitarbeitern, E-Mail-Adressen, Telefonnummern, Abteilungsinformationen und in einigen Fällen sogar Privatadressen. Diese Informationen sind eine Goldgrube für Phishing-Angriffe.
  • IT-Asset- und Konfigurationsinformationen: Serverdetails, IP-Adressen, Software-Inventare und Netzwerktopologien von Unternehmen. Dies bietet Angreifern eine Roadmap zur Planung umfassenderer Angriffe.
  • Interne Kommunikation und Support-Tickets: Von Mitarbeitern eröffnete Support-Tickets, Vorfallberichte und abteilungsübergreifende Kommunikationsprotokolle. Diese Daten können die Schwachstellen oder internen Probleme eines Unternehmens aufdecken.
  • Finanzdaten: Es ist bekannt, dass einige Unternehmen ihre Rechnungsstellung, Budgetgenehmigung und Beschaffungsprozesse über ServiceNow verwalten. Aus diesen Systemen durchgesickerte Finanzunterlagen können für direkten Betrug verwendet werden.
  • Anwendungscode und API-Schlüssel: Dies ist eines der größten Risiken für Technologieunternehmen, die ihre Entwicklungsprozesse auf ServiceNow verwalten. Durchgesickerter Quellcode oder API-Schlüssel, die den Zugriff auf Cloud-Dienste ermöglichen, könnten zu einer Kette katastrophaler Ereignisse führen.

Wenn Sie sich fragen, ob Ihre Daten bei einem solchen Vorfall preisgegeben wurden, ist die Überprüfung Ihrer E-Mail-Adresse mit einer zuverlässigen Datenleck Suche ein guter Anfang. Dies ist nicht nur für diesen Vorfall ein wichtiger Schritt, sondern auch für Ihre allgemeine digitale Sicherheit.

Wie der Angriff geschah

Wenn man sich die technischen Details ansieht, wird deutlich, dass der Angriff mit einer ziemlich ausgeklügelten Methode durchgeführt wurde. Die Angreifer zielten auf eine Schwachstelle in der Zugriffskontrollliste (ACL) in einer Funktion ab, die als "Scripted REST APIs" bekannt ist. Unter normalen Umständen sollten diese APIs durch strenge Regeln geschützt sein, die festlegen, wer auf sie zugreifen darf. In den anfälligen Versionen konnte jedoch eine speziell gestaltete HTTP-Anfrage diese ACL-Regeln vollständig umgehen.

Der Clou dabei: Die Angreifer benötigten keine Anmeldeinformationen, um eine Anfrage an diesen API-Endpunkt zu senden. Mit einer völlig anonymen und externen Anfrage konnten sie Befehle ausführen, als wären sie ein Benutzer mit hohen Berechtigungen im System. Zuerst nutzten sie diese Befehle, um sich ein geheimes Administratorkonto zu erstellen. Dann loggten sie sich mit diesem Konto ein und richteten dauerhafte Hintertüren (Backdoors) ein, um beliebige Daten zu exfiltrieren. Der Angriff blieb lange unbemerkt, da er in den Protokollen als normale API-Aktivität erschien. Dieser "Low and Slow"-Ansatz ermöglichte es den Angreifern, monatelang unentdeckt zu agieren.

Wer ist betroffen

Das Kundenportfolio von ServiceNow reicht von Fortune-500-Unternehmen bis hin zu Regierungsbehörden, sodass das Profil der Betroffenen sehr vielfältig ist. Sicherheitsforscher weisen darauf hin, dass die Schwachstelle hauptsächlich auf ServiceNow-Instanzen abzielt, die in ihrer Standardkonfiguration belassen wurden oder ältere Versionen verwenden. Unternehmen, die keine eigenen benutzerdefinierten Sicherheitseinstellungen konfiguriert oder Updates nicht rechtzeitig eingespielt haben, sind dem größten Risiko ausgesetzt.

Erste Berichte haben bestätigt, dass viele Organisationen aus den Bereichen Finanzen, Gesundheitswesen, Technologie und dem öffentlichen Sektor betroffen sind. Besondere Besorgnis besteht darüber, dass die durchgesickerten Daten eines Gesundheitsunternehmens auch Patienten-Supportanfragen umfassen könnten. Bei Technologieunternehmen könnten der gestohlene Quellcode und die Infrastrukturinformationen ein Vorbote für noch größere Cyberangriffe sein. ServiceNow gab bekannt, dass sie begonnen haben, betroffene Kunden direkt zu kontaktieren, aber aufgrund der Natur der Schwachstelle kann es einige Zeit dauern, alle Betroffenen vollständig zu identifizieren.

Was Sie tun können

Wenn Sie ein ServiceNow-Administrator oder Teil des Cybersicherheitsteams eines Unternehmens sind, benötigen Sie mehr als nur allgemeine Ratschläge. Hier sind die sofortigen Schritte, die Sie unternehmen sollten:

  • Überprüfen Sie Ihren Patch-Status: ServiceNow hat ein Notfall-Sicherheitsupdate veröffentlicht, um diese Schwachstelle zu beheben. Stellen Sie sicher, dass Ihre Instanz diesen Patch erhalten hat. Wenn nicht, machen Sie dies zu Ihrer obersten Priorität.
  • Prüfen Sie Scripted REST APIs: Überprüfen Sie alle Scripted REST API-Endpunkte, insbesondere solche, die auf "Public" gesetzt sind oder keine Authentifizierung erfordern. Deaktivieren oder rekonfigurieren Sie sofort alles, was nicht unbedingt öffentlich zugänglich sein muss, um eine Autorisierung zu erfordern.
  • Suchen Sie nach verdächtigen Konten: Untersuchen Sie Benutzerkonten mit administrativen Rechten, die in den letzten 3-6 Monaten erstellt wurden. Sperren Sie alle unbekannten oder verdächtigen Konten und untersuchen Sie deren Herkunft.
  • Führen Sie eine retrospektive Protokollanalyse durch: Überprüfen Sie die Zugriffsprotokolle, insbesondere für die ACL-Tabellen oder Scripted REST API-Konfigurationen. Zugriffe von unerwarteten IP-Adressen oder zu ungewöhnlichen Zeiten sollten ein Warnsignal sein.

Diese Schritte helfen nicht nur, die aktuelle Bedrohung zu neutralisieren, sondern machen Ihr System auch widerstandsfähiger gegen ähnliche Angriffe in der Zukunft.

Was das Unternehmen sagt

Nach Bekanntwerden des Vorfalls gab ServiceNow eine Pressemitteilung heraus. In der Erklärung hieß es: "Wir sind uns einer Schwachstelle bewusst, die eine kleine Anzahl von Kundeninstanzen mit einer bestimmten Konfiguration betrifft." Das Unternehmen erklärte, dass es einen Patch zur Behebung der Schwachstelle veröffentlicht und alle betroffenen Kunden direkt kontaktiert habe. Die Erklärung betonte auch, dass sie zusätzliche Anleitungen und Unterstützung bereitstellen, um Kunden bei der Sicherung ihrer Plattformen zu helfen. Es wurden jedoch keine Details darüber genannt, wie lange der Angriff andauerte oder wie viele Kunden genau betroffen waren.

Quelle

https://thehackernews.com/2026/06/servicenow-flaw-exploited-to-gain.html

Artikel teilen
X LinkedIn WhatsApp
← Vorheriger Beitrag Ihr KI-Assistent ist auf Phishing hereingefallen

Wöchentlicher Newsletter

Kuratierte Datenpannennews jede Woche in Ihrem Posteingang.