.png)
.png)
.png)
.png)
.
Pesquisadores de segurança dizem que milhares de empresas estão potencialmente vazando segredos de seus artigos da base de conhecimento interna (KB) por meio de configurações incorretas do ServiceNow.
Aaron Costello e Dan Meged, das empresas de segurança AppOmni e Adaptive Shield, respectivamente, publicaram separadamente suas descobertas esta semana, concluindo que páginas definidas como “privadas” ainda podem ser lidas ao mexer nos widgets da base de conhecimento de um cliente do ServiceNow.
Esses widgets são essencialmente contêineres de informações usados para construir as páginas em artigos da KB. Eles podem incluir elementos de página que permitem que os usuários deixem feedback sobre os artigos, seja por meio de avaliações de estrelas ou comentários, por exemplo.
Nos casos em que a KB de uma organização é definida como “pública”, mas as páginas dentro dela são definidas como “privadas”, cada artigo da KB pode ser lido por meio dos widgets do ServiceNow.
A Meged estimou que cerca de 30% dos clientes do ServiceNow têm essa configuração defeituosa e podem estar expondo involuntariamente segredos armazenados em sua KB, como senhas de primeiro acesso para novos funcionários que se conectam a uma VPN da empresa, por exemplo.
Da mesma forma, Costello estimou que, depois de analisar mais de 1.000 instâncias diferentes do ServiceNow, 45% delas estavam expondo dados involuntariamente.
Os clientes que definem suas KBs e páginas da KB como “privadas” não estão expostos a esse problema e, mesmo que as páginas sejam definidas como “públicas”, mas a KB em si esteja definida como “privada”, esses clientes também estão protegidos do tipo de exposição descrito aqui.
Deve ser esclarecido que os artigos da KB são diferentes das páginas. As páginas da KB podem conter qualquer tipo de informação – pode ser um pedaço de conteúdo multimídia ou pode conter um artigo, ou uma combinação desses elementos. Os artigos da KB são o conteúdo real que as pessoas querem ler, e os widgets oferecem funcionalidades extras, como comentários ou classificações.
Os widgets em si também podem ser definidos como “privados”, mas são “públicos” por padrão, o que permite que qualquer usuário não autenticado os acesse. O widget KB Article Page pode ser explorado para recuperar conteúdo de artigo da KB porque facilita para intrusos em potencial localizar artigos da KB expostos.
Alguns widgets usam o UUID para localizar esse conteúdo, mas o widget Página de artigo da base de conhecimento permite que os artigos sejam localizados usando seu ID de artigo exclusivo, cujo formato é sempre “KB” seguido por sete números inteiros (KBXXXXXXX), possibilitando incrementar até que um artigo exposto seja encontrado.
Ao usar uma ferramenta de proxy de rede como o Burp Suite, as solicitações HTTP feitas à instância do ServiceNow podem ser interceptadas, assim como a variável JavaScript g_ck. Essa variável pode então ser conectada a uma solicitação POST junto com o ID do artigo que corresponde ao artigo exposto. O envio dessa solicitação retorna todos os tipos de dados relacionados a esse artigo, incluindo a totalidade de seu conteúdo.
“A capacidade deste widget de iterar rapidamente sobre números de KB para recuperar informações rapidamente é extremamente útil para um invasor que pode enviar solicitações em rápida sucessão e até mesmo facilitar o ataque a várias instâncias do ServiceNow simultaneamente sem muita largura de banda”, disse Costello.
Barreiras à segurança
Costello ofereceu mais informações sobre o motivo pelo qual os KBs do ServiceNow continuam tão mal configurados.
O pesquisador trabalhou com O Registro em uma história relacionada ao ServiceNow no ano passado, analisando o papel das Listas de Controle de Acesso (ACLs) que não estavam sendo usadas corretamente pelos clientes e, por sua vez, não estavam protegendo a exposição dos artigos da KB.
O que se seguiu foi a adição de novos controles de segurança para widgets para evitar esses tipos de exposições, e Atributos de Segurança foram adicionados à maioria das ACLs por padrão.
“Essa abordagem de dupla camada para a segurança de dados foi uma mudança bem-vinda”, ele disse. “Ma