ServiceNow'da Yetkisiz Erişim Açığı ile Müşteri Verilerinin Sızması Olayı

Genel Bakış

ServiceNow, 2024 yılının başlarında, yetkisiz erişim açığından yararlanan saldırganların, müşteri veri örneklerine erişmesine olanak tanıyan bir güvenlik olayını kamuoyuna açıkladı. Olay, CVE-2024-4879 olarak tanımlanan ve unauthenticated API endpoint üzerinden gerçekleştirilen saldırıyla ilişkilendirildi. Saldırganlar, bu zayıf noktayı kullanarak ServiceNow müşteri örneklerinden veri sorgulama yetkisine sahip oldu.

Sorunun Tanımı

Etkilenen Hizmetler ve Bileşenler

Olay, aşağıdaki ServiceNow hizmetlerini ve bileşenlerini etkiledi:

• ServiceNow Customer Service Management (CSM): Müşteri hizmetleri süreçlerini yöneten platform.
• ServiceNow IT Service Management (ITSM): BT hizmetleri yönetimi için kullanılan modüller.
• ServiceNow Now Platform: Core platform hizmetleri ve API uç noktaları.

Güvenlik Açığının Kökeni

Yetkisiz erişim açığı, aşağıdaki nedenlerden kaynaklandı:

1. API Uç Noktası Zayıflığı: Belirli bir API uç noktasında kimlik doğrulama mekanizmasının eksik olması.
2. Yetersiz Girdi Doğrulaması: API'ye gönderilen isteklerdeki verilerin yeterince doğrulanmaması.
3. Yetkisiz Erişim Kontrolü: API uç noktalarına yapılan erişimlerin sınırlandırılmaması.

Etki Analizi

Veri Sızıntısının Kapsamı

Saldırganlar, aşağıdaki verileri sorgulama yetkisine sahip oldu:

• Müşteri kayıtları (ad, soyad, e-posta, telefon numarası).
• Hizmet talepleri ve destek kayıtları.
• BT varlıkları ve yapılandırma bilgileri.
• Kurumsal belgeler ve raporlar.

Potansiyel Tehditler

Uyarı: Bu tür veri sızıntıları, kimlik avı saldırıları, sosyal mühendislik ve kurumsal casusluk gibi ikincil saldırıların artmasına yol açabilir. Etkilenen kuruluşların, saldırıya uğrayan verilerin hassasiyetine göre acil müdahale planları oluşturması gerekmektedir.

Çözüm Adımları

1. Acil Müdahale ve İzolasyon

1. Etkilenen API Uç Noktalarının Kapatılması

   # ServiceNow Now Platform API uç noktalarını geçici olarak devre dışı bırak
   PUT /api/now/table/sys_properties
   {
     "name": "glide.api.disabled",
     "value": "true"
   }
   

2. Erişim Loglarının İncelenmesi

   # API erişim loglarını sorgulama
   GET /api/now/table/sys_audit_log?sysparm_query=action=api^ORaction=rest
   

3. Etkilenen Müşteri Örneklerinin İzole Edilmesi

   # ServiceNow müşteri örneklerini geçici olarak kapat
   PUT /api/now/table/cmdb_ci_service_now_instance
   {
     "instance_id": "ORG001",
     "status": "inactive"
   }
   

2. Güvenlik Açığının Kapatılması

1. API Uç Noktalarına Kimlik Doğrulama Ekleme

   # API uç noktalarına temel kimlik doğrulama ekleme
   POST /api/now/table/sys_properties
   {
     "name": "glide.api.auth.enabled",
     "value": "true"
   }
   

2. Girdi Doğrulama Kurallarının Güçlendirilmesi

   # API isteklerinde girdi doğrulama kurallarını uygulama
   PUT /api/now/table/sys_properties
   {
     "name": "glide.api.input.validation",
     "value": "strict"
   }
   

3. Yetkisiz Erişim Kontrollerinin Güçlendirilmesi

   # API uç noktalarına IP beyaz listesi uygulama
   POST /api/now/table/sys_properties
   {
     "name": "glide.api.ip.whitelist",
     "value": "192.168.1.0/24,10.0.0.0/8"
   }
   

3. Sürekli İzleme ve Denetim

1. API Erişim Loglarının Sürekli İzlenmesi

   # API erişim loglarını sürekli izleme
   GET /api/now/table/sys_audit_log?sysparm_query=action=api^ORaction=rest^sys_created_onONToday@javascript:gs.daysAgoStart(1)
   

2. Anormal Aktivitelerin Tespiti

   # Anormal API aktivitelerini tespit etmek için uyarı kuralları oluşturma
   POST /api/now/table/sys_alert_rule
   {
     "name": "API Anormal Aktivite Tespiti",
     "condition": "sys_created_onONToday@javascript:gs.daysAgoStart(1)^ORsys_updated_onONToday@javascript:gs.daysAgoStart(1)",
     "active": "true"
   }
   

3. Düzenli Güvenlik Denetimleri

   ServiceNow platformunda aşağıdaki denetimleri düzenli olarak gerçekleştirin:

   • API uç noktalarının güvenlik kontrolleri.
   • Kimlik doğrulama mekanizmalarının doğrulaması.
   • Erişim loglarının analizi.

Önleyici Tedbirler

1. Platform Güvenliğinin Artırılması

• Çok Faktörlü Kimlik Doğrulama (MFA) Uygulama: API uç noktalarına erişim için MFA zorunluluğu getirin.
• API Ağ Geçidi Kullanımı: API isteklerini filtrelemek ve izlemek için bir API ağ geçidi kullanın.
• Düzenli Güvenlik Güncellemeleri: ServiceNow platformunun en son güvenlik yamalarıyla güncel olduğundan emin olun.

2. Personel Eğitimi ve Farkındalık

• Güvenlik Farkındalık Eğitimleri: Personelin güvenlik açıkları ve en iyi uygulamalar hakkında eğitilmesi.
• Simüle Saldırı Testleri: Personelin saldırı senaryolarına karşı hazırlıklı olmasını sağlamak için simüle saldırı testleri gerçekleştirin.

3. Yedekleme ve Kurtarma Planları

• Düzenli Yedeklemeler: ServiceNow verilerinin düzenli olarak yedeklenmesi ve güvenli bir şekilde saklanması.
• Kurtarma Planları: Veri kaybı durumunda hızlı kurtarma için kurtarma planlarının oluşturulması.

İpuçları ve Uyarılar

İpucu: ServiceNow API uç noktalarını kullanırken, sadece gerekli olan minimum erişim izinlerini vermeye özen gösterin. Gereksiz yetkiler, saldırı yüzeyini artırabilir.

Uyarı: Güvenlik açıklarını tespit etmek ve kapatmak için düzenli olarak güvenlik denetimleri gerçekleştirin. Otomatik güvenlik tarama araçları kullanarak potansiyel zayıflıkları erkenden tespit edin.

Kaynaklar ve Referanslar

• ServiceNow API Güvenliği Dokümantasyonu
• CVE-2024-4879 Açık Tanımı
• OWASP API Güvenliği Kontrolleri