ServiceNow mengungkapkan insiden keamanan yang mengekspos data pelanggan

ServiceNow memperingatkan tentang insiden keamanan setelah penyerang mengeksploitasi kelemahan akses yang tidak diautentikasi melalui titik akhir API yang rentan, sehingga memungkinkan mereka untuk menanyakan data dari instans pelanggan.

Perusahaan secara diam-diam memperingatkan pelanggan yang terkena dampak melalui buletin dukungan dan kasus dukungan langsung setelah mendeteksi “aktivitas anomali” terkait masalah tersebut.

Buletin, yang tersembunyi di balik portal masuk dukungan pelanggan ServiceNow, menyatakan bahwa perusahaan menerapkan pembaruan keamanan pada mesin virtual pelanggan yang dihosting pada tanggal 5 Juni 2026.

“Pada tanggal 5 Juni 2026, ServiceNow menerapkan pembaruan keamanan pada instans pelanggan yang dihosting,” demikian bunyi buletin dukungan.

“Pembaruan ini berkaitan dengan masalah keamanan yang memungkinkan pengguna yang tidak diautentikasi, dalam keadaan tertentu, mendapatkan akses lebih besar ke instance ServiceNow daripada yang diharapkan.”

Perusahaan mengatakan pembaruan keamanan ini mengubah konfigurasi titik akhir API untuk membatasi akses hanya kepada pengguna yang diautentikasi.

ServiceNow juga mengonfirmasi bahwa penyerang mengeksploitasi kelemahan ini agar berhasil menanyakan tabel instans pelanggan.

Meskipun ServiceNow tidak mengungkapkan data mana yang diakses selama serangan, instance biasanya menyimpan informasi sensitif perusahaan, termasuk tiket dukungan TI, catatan karyawan, dokumentasi internal, inventaris aset, laporan insiden keamanan, data alur kerja, dan detail konfigurasi untuk sistem dan layanan perusahaan.

Informasi kasus dukungan telah menjadi sebuah target yang semakin populer bagi para pelaku ancamankarena tiket dapat berisi kredensial, token API, dokumentasi internal, dan rahasia autentikasi yang dibagikan selama pemecahan masalah.

Menurut penasihat tersebut, ServiceNow kini telah membuka kasus dukungan dengan pelanggan yang terkena dampak. Jika pelanggan belum menerimanya, mereka diyakini tidak akan terkena dampak insiden tersebut.

Meskipun ServiceNow belum mengungkapkan secara publik rincian teknis tentang kelemahan tersebut, administrator terus mendiskusikan insiden tersebut reddit katakanlah masalah tersebut tampaknya terkait dengan titik akhir REST di ‘/api/now/related_list_edit/create‘.

Seorang pemberi komentar diklaim titik akhir dikonfigurasi dengan ‘requires_authentication=false‘, berpotensi mengizinkan permintaan yang tidak diautentikasi untuk mengakses data instans. Pembaruan keamanan yang dirilis pada hari Jumat diduga digunakan untuk mengatur requires_authentication ke true.

Banyak admin berbagi indikator kompromi, termasuk permintaan API dari alamat IP ‘51.159.98.241,’ menyarankan administrator lain untuk meninjau log untuk permintaan ke titik akhir yang rentan.

Buletin tersebut menyatakan bahwa masalah ini terutama berdampak pada pelanggan yang menjalankan rilis platform Australia atau pelanggan pada rilis lama yang melakukan perubahan konfigurasi tertentu.

“Masalah keamanan berkaitan dengan pelanggan yang menggunakan rilis platform Australia atau membuat perubahan konfigurasi tertentu pada instans pada rilis sebelum Australia,” ServiceNow memperingatkan.

BleepingComputer menghubungi ServiceNow hari ini setelah seorang pembaca memberi tahu kami tentang insiden tersebut, menanyakan berapa lama aktivitas tersebut telah berlangsung, apa yang menyebabkan masalahnya, dan apakah data pelanggan telah dicuri. Kami tidak menerima tanggapan sebelum dipublikasikan.

ServiceNow mengatakan masih mengevaluasi apakah mereka akan menerbitkan CVE untuk masalah ini.

Administrator disarankan untuk meninjau log ServiceNow untuk permintaan ke /api/now/related_list_edit, khususnya dari alamat IP 51.159.98.241.

Organisasi yang terkena dampak harus meninjau tiket dan catatan yang terbuka untuk informasi sensitif, merotasi kredensial atau token yang dibagikan melalui alur kerja dukungan, dan memastikan pencatatan API diaktifkan.