Tietoturva Nyt!
ServiceNow ilmoitti noin viikko sitten tukisivustollaan, että alustan virheelliset konfiguraatiot voivat mahdollistaa arkaluonteisen tiedon vuotamisen. Kyseinen tietoturva-aukko on palvelua käyttäville organisaatioille kriittinen huolenaihe, sillä se voi johtaa arkaluonteisten yritystietojen merkittävään tietovuotoon. Kyberturvallisuuskeskuksella on tiedossa tapauksia, joissa tätä tietoturva-aukkoa on hyödynnetty.
Mistä on kyse?
ServiceNow on palveluna tarjottava alusta, jota käytetään esimerkiksi yritysten teknisen tuen ja asiakaspalveluiden tapausten hallinnointiin ja käsittelyyn. Palvelua voidaan pitää yhtenä yrityksen kriittisimmistä järjestelmistä, koska sieltä on usein pääsy luottamukselliseen tietoon, kuten tietojärjestelmien yksityiskohtiin ja henkilötietoihin.
Tietoturva-aukko liittyy palvelussa käytettävien pienohjelmien (widget) virheelliseen oletuskonfiguraatioon. Pienohjelmilla rakennetaan ServiceNow-portaalin sisältö, kuten lomakkeet, listat ja taulukot. ServiceNow tarjoaa valmiita pienohjelmia, joita käyttäjä voi muokata omien tarpeidensa mukaan. Pienohjelma koostuu HTML- ja CSS-tiedostoista sekä palvelin- ja käyttäjäpuolen komentosarjoista (script).
Oletuskonfiguraatio sallii kyselyiden tekemisen tunnistautumattomalle käyttäjälle
Simple List on pienohjelma, joka hakee tietokannassa olevan tiedon ja esittää sen käyttöliittymässä listana. Listat voivat pitää sisällään luottamuksellista tietoa, kuten yrityssalaisuuksia tai henkilötietoja.
Simple List -pienohjelma on oletuksena määritelty julkiseksi, eikä sille ole asetettu rooleja, joita käytetään käyttöoikeuksien rajoittamiseen. Pienohjelman palvelinpuolen komentosarjan tarkoituksena on tarjota palvelimella tehtyjä taustatoimintoja, ja niitä kutsutaan yleensä käyttäjäpuolen komentosarjan kautta. Tämän pienohjelman tapauksessa palvelinpuolen komentosarjalle voidaan kuitenkin tehdä suoria kyselyjä. Pienohjelman oletuskonfiguraatio sallii kyselyiden tekemisen myös tunnistautumattomalle käyttäjälle. Hyökkääjä voi siis esittää Simple List -pienohjelmalle kyselyjä API-rajapinnan kautta tunnistautumatta, ja saada vastaukseksi tietokannan sisältöä json-tiedostomuodossa. Kyselyt, joita hyökkääjä voi tehdä, sekä niiden palauttamat tiedot vaihtelevat riippuen organisaation käyttämästä konfiguraatiosta. Tästä syystä on suositeltavaa tarkistaa järjestelmään asetettu konfiguraatio. On myös suositeltavaa selvittää järjestelmän lokeista, onko hyväksikäyttöä tapahtunut.
Kyberturvallisuuskeskukselle on ilmoitettu useita tapauksia, joissa tietoturva-aukkoa on hyödynnetty hyökkäyksissä. Suosittelemmekin siis organisaatioita tarkastamaan oman ympäristönsä konfiguraatiovirheiden ja hyväksikäytön varalta. Mikäli havaitset, että tietoturva-aukkoa on hyväksikäytetty tai yritetty hyväksikäyttää, ilmoita siitä meille lomakkeella https://www.kyberturvallisuuskeskus.fi/fi/ilmoita (Ulkoinen linkki) tai sähköpostitse cert@traficom.fi .
Rajoittaminen ja havaitseminen
Vaikutusten rajoittamiseksi organisaatioiden tulisi tehdä ainakin seuraavat toimenpiteet:
- Käy läpi pääsynhallintalistat (access contol list, ACL), jotka ovat tyhjiä tai määritelty julkisiksi
- Tarkastele käytössä olevat julkiset pienohjelmat ja niiden käyttöoikeudet. Tarpeettomasti julkisesti saatavilla olevat ohjelmat tulisi poistaa tai rajoittaa sisäiseen käyttöön
- Harkitse tiukempaa pääsynhallintamekanismia, kuten IP-osoitteeseen perustuvaa pääsyä tai mukautuvaa tunnistautumista (adaptive authentication)
- Harkitse ServiceNown “Explicit Roles” -lisäosan käyttöönottamista. ServiceNown mukaan lisäosa estää ulkoisten käyttäjien pääsyn sisäiseen dataan.
- Tarkastele Simple List -pienohjelman tapahtumalokeista hyväksikäytön merkkejä
Lisätietoja
- Potential Public List Widget Misconfiguration (Ulkoinen linkki)
- Data Exposure and ServiceNow: The Elephant in the ITSM Room (Ulkoinen linkki)
- Simple List widget (Ulkoinen linkki)
- IP Address Access Control (Ulkoinen linkki)
- Access Control List Rules (Ulkoinen linkki)
- Adaptive Authentication (Ulkoinen linkki)
- Reviewing Transaction Logs for Simple List Widget Activity (vaatii kirjautumisen) (Ulkoinen linkki)