Wir nehmen Ihnen die Angst vor ServiceNow Security

Die kürzlich veröffentlichten Artikel haben möglicherweise zu Bedenken hinsichtlich der Schwachstellen des Out-of-Box ServiceNow-Widgets geführt, die zu unerwünschtem Datenzugang führen. Diese Bedenken sind allerdings übertrieben. Erstens sollte darauf aufmerksam gemacht werden, dass diese Untersuchung sich auf alle Cloud-Plattformen bezieht, nicht nur auf ServiceNow. Zweitens wurde die Angelegenheit bereits im Mai 2023 von ServiceNow bearbeitet – 5 Monate bevor die Artikel veröffentlicht wurden. Obwohl wir keine erheblichen Risiken vorhersehen, haben wir einige weiteren Informationen und Empfehlungen zusammengestellt, um sicherzustellen, dass Ihre Unternehmensdaten auf der ServiceNow-Plattform auch weiterhin sicher sind.

Was ist ein Risiko?

Alle in einer Tabelle gespeicherten Daten, und in der der Rolle „öffentlich“ Leseberechtigungen erteilt wurden, sind möglicherweise für nicht autorisierte Benutzer zugänglich.

Was ist bereits erledigt?

ServiceNow hat sich bereits im Mai 2023 aktiv um die Wartung von Kunden-Instanzen gekümmert. Bei der Wartung wurde das Verhalten des „Simple List Widget“ angepasst, um unbefugten Zugang zu bestimmten Daten zu verhindern. Das Update steht im Tokyo Patch 8 & 7a, Utah Patch 1a & 2, San Diego Patch 10 Hot Fix 1a (und höher) verfügbar. Hinweis: Benutzerdefinierte oder geklonte Widget wurden nicht repariert. Lesen Sie den vollständigen Knowledge-Artikel (KB1279323) hier.

Was können Sie tun?

Wenn Sie vermuten, dass Sie ein geklontes oder benutzerdefiniertes „Simple List Widget“ verwenden, oder einfach nur Ihre Instanz überprüfen möchten, um mögliche Schwachstellen auszuschließen, empfehlen wir folgende Maßnahmen:

• Verwenden Sie unseren kostenlosen Instance Analyzer - in 15 Minuten erhalten Sie eine klare Ausgabe darüber, ob bei Ihnen durch eine Fehlkonfiguration des „Simple List Widget“ ein Schwachstellenrisiko entstanden ist. Führen Sie eine schnelle Überprüfung mit der „Avoid Public Widget List“ und gemäß den Regeln der „Avoid Empty Access Control“ aus unserer Best Practice Analysis durch. Sie müssen komplette komplette Best-Practice-Analyse durchführen und warten, um diese potenziellen Risikoelemente zu erkennen. Achten Sie darauf, dass Ihr Best Practice Analysis Content Pack auf Version 1.4 aktualisiert wurde, um diese beiden neuen Regeln zu erhalten. Erfahren Sie mehr über Instance Analyzer. 
• Wenn er noch nicht installiert ist, installieren Sie das Explicit Roles-Plugin. Dieses Plugin aktualisiert alle OOB Access Controls, die keine Rollenanforderungen haben und daher jeglichen öffentlichen Zugang verhindern. Hinweis: Das Plugin aktualisiert keine benutzerdefinierten oder modifizierten ACL. Hier erfahren Sie mehr.
• Überprüfen Sie Ihre „öffentlichen“ Rollen und ändern Sie den Rollenstatus entsprechend den Geschäftsanforderungen und -bedürfnissen.

Die Zukunft

ServiceNow überwacht nun aufmerksam Bedrohungen und handelt rasch, um Kunden zu schützen – genau wie wir. Als Ihr ServiceNow-Plattformberater teilen wir auch weiterhin Informationen, mit denen Sie ServiceNow sicher nutzen können. In der Zwischenzeit können Sie mit den oben genannten Schritte sicher sein, dass Ihre Instanz vor unbefugtem Zugriff geschützt ist.