– Eine Cybersicherheitslücke in ServiceNow, einer Cloud-Computing-Plattform, könnte es nicht authentifizierten Benutzern ermöglichen, Daten aus Datensätzen zu extrahieren, wie ein Cybersicherheitsforscher Mitte Oktober entdeckte. Das Health Sector Cybersecurity Coordination Center (HC3) hat zu diesem Thema eine Analystenmitteilung herausgegeben, um das Risiko im Zusammenhang mit dem Gesundheitssektor zu untersuchen.
Gesundheitsorganisationen nutzen die Cloud-Computing-Funktionen von ServiceNow zur Verwaltung digitaler Arbeitsabläufe und nutzen seine spezielle Service-Management-Software für das Gesundheitswesen und die Biowissenschaften. Darüber hinaus nutzen Organisationen das Tool, um digitale Transformationsbemühungen im Zusammenhang mit der Verwaltung klinischer Geräte zu verwalten.
Obwohl die Bedrohungsakteure die Schwachstelle noch nicht ausgenutzt haben, erklärte HC3, dass „die Wahrscheinlichkeit besteht, dass dies der Fall sein wird“. [exploited] ist wahrscheinlich.“
„Der Cybersicherheitsforscher, der die Entdeckung gemacht hat, sagte, dass das schwache Glied der integrierten Fähigkeit eine Fehlkonfiguration in einer Komponente oder einem Widget im ServiceNow-System namens Simple List ist. Dieses Widget/diese Komponente fügt Datensätze in Tabellen ein, die leicht lesbar sind“, bemerkte HC3.
„Das zweite Cybersicherheitsunternehmen, das die Schwachstelle bestätigte, gab an, dass der Fehler seit der Erstellung der Simple List-Komponente im Jahr 2015 besteht.“
Die Widgets von ServiceNow wurden als „unglaublich leistungsfähig, aber oft übersehen“ beschrieben, was die Wahrscheinlichkeit erhöht, dass die damit verbundenen Bedenken ausgeräumt wurden. Obwohl die Schwachstelle dem Anbieter bereits seit 2015 bekannt war, änderte ServiceNow die Funktion erst 2023, um die Sicherheit zu erhöhen.
In der Analystennotiz heißt es:
„Am 3. März 2023 stellte der Cybersicherheitsforscher fest, dass ServiceNow eine Ergänzung zu Simple List vorgenommen hat, um zu überprüfen, ob „öffentlich“ im Code abgehakt ist. Ist dies nicht der Fall, wird der Zugriff verweigert. Innerhalb von ServiceNow können Ressourcen, die für die Zugriffskontrolle auf ACLs angewiesen sind, auf verschiedene Weise dazu führen, dass eine Ressource öffentlich ist. Wir wissen, dass man die Rollen-, Bedingungs- und Skriptteile einer ACL erfüllen muss. Wenn „public“ nicht als Rolle in der ACL definiert ist, kann es sein, dass ein nicht authentifizierter Benutzer die Bedingung oder Skriptteile dennoch übergibt und ihm somit Zugriff gewährt wird. Noch wahrscheinlicher ist, dass die ACL keinerlei definierte Rolle, Bedingung oder Skript enthält und einem nicht authentifizierten Benutzer Zugriff auf die Ressource ermöglicht.“
Aufgrund ihrer weiten Verbreitung im Gesundheitswesen ist es wahrscheinlich, dass die Schwachstelleninformationen für eine Vielzahl von Organisationen relevant sein werden. HC3 empfahl Organisationen, das Risiko zu mindern, indem sie nach Möglichkeit IP-Einschränkungen für eingehenden Datenverkehr implementieren und öffentliche Widgets deaktivieren.
Darüber hinaus können Unternehmen erwägen, Zugriffskontrolllisten durch sorgfältig implementierte Plug-ins zu erweitern. Insgesamt sollten Organisationen die potenziellen Auswirkungen einer Schwachstellenausnutzung im Auge behalten und Maßnahmen zur Risikominderung ergreifen.
