ServiceNow Zafiyeti Aktif Olarak Sömürülüyor – Veri Sızıntısı
Live
Sorgula
Kurumsal
Hakkımızda Kurucunun Notu Basın & Medya Gizlilik Politikası Kullanım Koşulları SSS Basın Kiti
Ürünler
HUBOne HUBCorp Yakında Veri Sızıntısı Android Yakında Veri Sızıntısı iOS Yakında Veri Sızıntısı Huawei Yakında Breach Radar Argus Flow Argus Engine LivePlatform
Teknolojiler
Argus AI Nedir? HUBOne'da Dene Argus Flow Nedir? Argus Engine Nedir?
Blog İletişim

ServiceNow Zafiyeti Müşteri Verilerini Sızdırdı

Siber güvenlik dünyası, kurumsal bulut bilişim devi ServiceNow'da tespit edilen ve aktif olarak sömürülen bir güvenlik açığı haberiyle çalkalanıyor. Kimliği belirsiz saldırganlar, bu zafiyeti kullanarak çok sayıda müşteri sistemine yetkisiz erişim sağladı.

ServiceNow logosu üzerinde bir uyarı işareti, siber güvenlik açığı ve veri sızıntısını temsil ediyor.

Ne Oldu

Kurumsal dünyanın bel kemiği haline gelen ServiceNow platformu, son günlerin en çok konuşulan siber güvenlik olayının merkezinde. Bir grup siber saldırgan, platformun temel bileşenlerinden birinde yer alan ve şimdi "InstanceJacker" olarak adlandırılan bir güvenlik açığını kullanarak, aralarında büyük şirketlerin de bulunduğu onlarca, belki de yüzlerce müşteri örneğine (instance) sızmayı başardı. Olay, ServiceNow'un kendi güvenlik ekibi tarafından değil, birden fazla müşterisinin sistemlerinde şüpheli aktiviteler fark eden üçüncü parti bir siber güvenlik firmasının uyarısıyla ortaya çıktı. Bu durum, saldırının ne kadar sessiz ve derinden ilerlediğinin bir kanıtı gibi.

Saldırganların, bu zafiyeti en azından son üç aydır aktif olarak kullandığı tahmin ediliyor. Bu süre zarfında, şirketlerin en hassas operasyonel verilerinin bulunduğu bu dijital kalelere girip çıktılar. ServiceNow, dünya genelinde binlerce büyük şirkete BT hizmet yönetimi (ITSM), operasyon yönetimi (ITOM) ve iş akışı otomasyonu gibi hizmetler sunuyor. Dolayısıyla, bir müşterinin sistemine sızmak, o şirketin tüm iç işleyişine, çalışan bilgilerine, finansal raporlarına ve hatta ticari sırlarına erişim anlamına gelebilir. Şu an için tam olarak kaç şirketin etkilendiği belirsizliğini koruyor, ancak ilk raporlar etkinin geniş çaplı olabileceğini gösteriyor.

Ele Geçirilen Veriler

Saldırganların ne tür verilere ulaştığı, olayın ciddiyetini gözler önüne seriyor. İlk bulgulara göre, sızdırılan veriler her şirketin ServiceNow kullanım amacına göre değişiklik gösterse de, ortak kategoriler oldukça rahatsız edici. İşte ele geçirildiği düşünülen bazı veri türleri:

E-postanız sızdırıldı mı? Ücretsiz sorgulayın, saniyeler içinde öğrenin.

Hemen Sorgula →
  • Kişisel Tanımlayıcı Bilgiler (PII): Çalışanların adları, e-posta adresleri, telefon numaraları, departman bilgileri ve hatta bazı durumlarda ev adresleri. Bu bilgiler, kimlik avı (phishing) saldırıları için adeta bir altın madeni.
  • BT Varlık ve Yapılandırma Bilgileri: Şirketlerin sunucu bilgileri, IP adresleri, yazılım envanterleri ve ağ topolojileri. Bu, saldırganların daha geniş çaplı saldırılar planlaması için bir yol haritası sunuyor.
  • İç Yazışmalar ve Destek Talepleri: Çalışanların açtığı destek talepleri (ticket'lar), olay raporları ve departmanlar arası iletişim kayıtları. Bu veriler, şirketin zayıf noktalarını veya iç sorunlarını ortaya çıkarabilir.
  • Finansal Veriler: Bazı şirketlerin faturalandırma, bütçe onayı ve satın alma süreçlerini ServiceNow üzerinden yönettiği biliniyor. Bu sistemlerden sızdırılan finansal kayıtlar, doğrudan dolandırıcılık için kullanılabilir.
  • Uygulama Kodları ve API Anahtarları: Geliştirme süreçlerini ServiceNow'da yöneten teknoloji şirketleri için en büyük risklerden biri. Sızdırılan kaynak kodları veya bulut hizmetlerine erişim sağlayan API anahtarları, zincirleme felaketlere yol açabilir.

Eğer verilerinizin bu tür bir olayda sızdırılıp sızdırılmadığını merak ediyorsanız, güvenilir bir Veri Sızıntısı Sorgulama aracı kullanarak e-posta adresinizi kontrol etmek iyi bir başlangıç olabilir. Bu, sadece bu olay için değil, genel dijital güvenliğiniz için de önemli bir adımdır.

Saldırının Nasıl Gerçekleşti

Teknik detaylara indiğimizde, saldırının oldukça sofistike bir yöntemle gerçekleştirildiği anlaşılıyor. Saldırganlar, ServiceNow'un "Scripted REST APIs" olarak bilinen bir özelliğindeki bir erişim kontrolü (ACL - Access Control List) zafiyetini hedef aldı. Normal şartlarda, bu API'ların kimlerin erişebileceğini belirleyen katı kurallarla korunması gerekiyor. Ancak, zafiyet barındıran versiyonlarda, belirli bir şekilde hazırlanmış bir HTTP isteği, bu ACL kurallarını tamamen atlayabiliyordu.

İşin can alıcı noktası şu: Saldırganların bu API uç noktasına istek göndermek için herhangi bir kimlik bilgisine ihtiyacı yoktu. Tamamen anonim ve dışarıdan bir istekle, sistemde yüksek yetkilere sahip bir kullanıcı gibi komut çalıştırabildiler. Bu komutlar aracılığıyla önce kendilerine gizli bir yönetici hesabı oluşturdular. Ardından, bu hesapla içeri girip istedikleri verileri dışarıya aktarmak için kalıcı bağlantılar (backdoors) kurdular. Saldırı, loglarda normal bir API aktivitesi gibi göründüğü için uzun süre fark edilemedi. Bu "düşük ve yavaş" (low and slow) yaklaşımı, saldırganların aylarca tespit edilmeden faaliyet göstermesine olanak tanıdı.

Etkilenenler Kim

ServiceNow'un müşteri portföyü Fortune 500 şirketlerinden devlet kurumlarına kadar uzanıyor. Bu nedenle etkilenenlerin profili oldukça çeşitli. Güvenlik araştırmacıları, zafiyetin özellikle varsayılan yapılandırmada bırakılmış veya eski versiyonları kullanan ServiceNow örneklerini hedef aldığını belirtiyor. Kendi özel güvenlik ayarlarını yapmamış, güncellemeleri zamanında uygulamamış şirketler en büyük risk altında.

İlk raporlara göre finans, sağlık, teknoloji ve kamu sektöründen birçok kurumun etkilendiği doğrulanmış durumda. Özellikle sağlık sektöründeki bir şirketin sızdırılan verileri arasında hasta destek taleplerinin de olabileceği endişesi var. Teknoloji şirketlerinde ise çalınan kaynak kodları ve altyapı bilgileri, daha büyük siber saldırıların habercisi olabilir. ServiceNow, etkilenen müşterilerle doğrudan iletişime geçmeye başladığını duyurdu, ancak zafiyetin doğası gereği, kimin sızdırıldığını tam olarak tespit etmek zaman alabilir. Eğer şirketiniz ServiceNow kullanıyorsa, BT departmanınızın teyakkuza geçmiş olması muhtemel.

Ne Yapabilirsin

Eğer bir ServiceNow yöneticisi veya bir şirketin siber güvenlik ekibindeysen, genel tavsiyelerden daha fazlasına ihtiyacın var. İşte hemen atman gereken adımlar:

  • Yama Durumunu Kontrol Et: ServiceNow, bu zafiyeti kapatan acil bir güvenlik güncellemesi yayınladı. Sisteminizin bu yamayı aldığından emin olun. Almadıysanız, bunu birinci öncelik haline getirin.
  • Scripted REST API'ları Denetle: Özellikle "Public" olarak ayarlanmış veya kimlik doğrulaması gerektirmeyen tüm Scripted REST API uç noktalarını gözden geçirin. Gerçekten genel erişime açık olması gerekmeyen her şeyi derhal kapatın veya yetkilendirme gerektirecek şekilde yeniden yapılandırın.
  • Şüpheli Hesapları Ara: Son 3-6 aylık dönemde oluşturulmuş yönetici yetkilerine sahip kullanıcı hesaplarını inceleyin. Bilinmeyen veya şüpheli görünen tüm hesapları dondurun ve kaynağını araştırın. Saldırganlar genellikle "backup-admin" veya "system-integration" gibi göze batmayan isimler kullanır.
  • Geriye Dönük Log Analizi: Özellikle ACL tablolarına veya Scripted REST API yapılandırmalarına yapılan erişim loglarını inceleyin. Beklenmedik IP adreslerinden veya normalin dışında zamanlarda yapılan erişimler kırmızı bayrak olmalı.

Bu adımlar, sadece mevcut tehdidi bertaraf etmekle kalmaz, gelecekteki benzer saldırılara karşı da sisteminizi daha dirençli hale getirir.

Şirket Ne Diyor

Olayın patlak vermesinin ardından ServiceNow bir basın açıklaması yayınladı. Açıklamada, "Belirli bir yapılandırmaya sahip az sayıda müşteri örneğini etkileyen bir güvenlik açığının farkındayız" denildi. Şirket, zafiyeti gidermek için bir yama yayınladıklarını ve etkilenen tüm müşterilere doğrudan ulaştıklarını belirtti. Açıklamada ayrıca, müşterilerin platformlarını güvende tutmalarına yardımcı olmak için ek rehberlik ve destek sağladıkları da vurgulandı. Ancak, saldırının ne kadar süredir devam ettiği veya tam olarak kaç müşterinin etkilendiği gibi detaylara girilmedi. Bu tür durumlarda şirketlerin genellikle temkinli bir dil kullanması beklenir, ancak siber güvenlik topluluğu ServiceNow'dan daha fazla şeffaflık bekliyor.

Kaynak

https://thehackernews.com/2026/06/servicenow-flaw-exploited-to-gain.html

Bu Yazıyı Paylaş
X LinkedIn WhatsApp
← Önceki Yazı Yapay Zeka Asistanınız Oltalama Tuzağına Düştü

Haftalık Bülten

Her hafta seçilmiş veri ihlali haberleri doğrudan gelen kutunuza gelsin.