ServiceNow安全缺陷遭濫用，攻擊者查詢部分客戶執行個體資料

根據Reddit使用者轉貼的ServiceNow客戶支援公告內容，ServiceNow已於6月5日對代管客戶執行個體套用安全更新，將相關API端點設定改為僅允許通過身分驗證的使用者存取。該公司表示，已在部分客戶環境觀察到執行個體資料表遭成功查詢的證據。這項問題主要影響使用Australia發行版本的客戶，或是使用Australia之前版本、且曾對執行個體做過特定設定變更的客戶。ServiceNow目前尚未公開完整技術細節，也仍在評估是否發布CVE。

BleepingComputer引述Reddit上ServiceNow管理員討論指出，這項問題疑似與「/api/now/related_list_edit/create」這個REST端點有關，有留言者聲稱該端點原本設定為requires_authentication = false，可能讓未經身分驗證的請求存取執行個體資料。可疑活動指標包含來自IP位址51.159.98.241、針對「/api/now/related_list_edit」路徑的API請求。

由於ServiceNow執行個體通常可能存放IT支援票單、員工紀錄、內部文件、資產清單、安全事件報告與企業系統設定等敏感資訊，受影響組織應檢查相關記錄，盤點可能暴露的資料，並輪替曾出現在支援流程中的憑證、API權杖，以及更新相關機密資訊。