Nedavna studija je otkrila da je preko 1.000 poslovnih ServiceNow instanci nenamjerno razotkrilo osjetljive korporativne podatke putem svojih baza znanja (KB), što predstavlja značajan sigurnosni rizik za pogođene organizacije.
AppOmni-jevo istraživanje tokom prošle godine pokazalo je da je skoro 45% ukupno testiranih instanci preduzeća imalo pogrešno konfigurisane kontrole pristupa KB-u, što je dovelo do izlaganja osetljivih podataka kao što su lični identifikacioni podaci (PII), detalji internog sistema i aktivni akreditivi ili tokeni za život proizvodni sistemi.
Organizacije sa više ServiceNow instanci dosljedno su pogrešno konfigurisale KB kontrole pristupa u svakoj instanci, što sugeriše sistematski nesporazum ili slučajno repliciranje loših kontrola.
Osnovni uzrok ove ranjivosti leži u složenoj prirodi korisničkih kriterija, koji se koriste za osiguranje KB-ova umjesto lista za kontrolu pristupa (ACL).
Za razliku od ACL-ova, koji su nedavno poboljšani sigurnosnim atributom ‘UserIsAuthenticated’, korisnički kriteriji nemaju koristi od ovog dodatnog sloja sigurnosti.
„Osnovni uzrok (pogrešno konfigurisani ACL-ovi) je ublažen podrazumjevanim dodavanjem bezbjednosnog atributa u gotove (OOB) ACL-ove, dok su putevi za izlaganje podataka (javni widgeti) ublaženi dodavanjem sistemskih svojstava što je ograničavalo podatke koje widgeti mogu tražiti,” rekao je Aaron Costello iz AppOmnija .
Štaviše, mnogi administratori nisu svjesni da određeni korisnički kriteriji, kao što su ‘Bilo koji korisnik’ i ‘Bilo koji korisnik za kb’, odobravaju pristup korisnicima koji nisu ovlašteni, što dovodi do nenamjernog izlaganja podataka.
Studija je također naglasila da mnoge poslovne instance stvorene prije izdanja Orlanda i dalje zadržavaju nesigurnu vrijednost „dopusti javni pristup po defaultu“ za KB-ove.
Ovo, u kombinaciji sa komplikovanim odnosom između višestrukih svojstava sistema i načina na koji utiču na pristup, stvorilo je savršenu oluju za kršenje podataka.
Da bi demonstrirao lakoću s kojom je zlonamjerni haker bez autentifikacije mogao pristupiti nesigurnom KB članku, istraživač je pružio dokaz koncepta koristeći HTTP proxy kao što je Burp Suite .
Ova metoda omogućava brute forsiranje ID-ova članaka, što omogućava brzo prepoznavanje i pristup izloženim člancima.
U svjetlu ovih nalaza, organizacije se pozivaju da poduzmu hitne mjere kako bi osigurale svoje KB-ove. Ovo uključuje svjesnost o relevantnim sigurnosnim svojstvima, aktiviranje gotovih poslovnih pravila kako bi se spriječio neautorizirani pristup prema zadanim postavkama i rutinsko pokretanje dijagnostike na kontrolama pristupa KB koristeći ugrađene alate ServiceNow.
Rješavanjem ovih ranjivosti , organizacije mogu značajno smanjiti rizik od kršenja podataka i zaštititi svoju kritičnu imovinu.
Izvor: CyberSecurityNews
