Elimina los temores injustificados en torno a la seguridad de ServiceNow

Es posible que algunos artículos recientes hayan suscitado cierta preocupación por una vulnerabilidad en un widget de ServiceNow que podría dar lugar a un acceso no intencionado a tus datos. Sin embargo, estas preocupaciones son exageradas. En primer lugar, es importante señalar que esta investigación se centra en todas las plataformas en la nube, no sólo en ServiceNow. Y, en segundo lugar, ServiceNow abordó el problema de forma proactiva en mayo de 2023, cinco meses antes de que se publicaran los artículos. Aunque no hemos detectado un riesgo significativo, a continuación te proporcionamos información adicional y recomendaciones para garantizar que los datos de tu empresa permanezcan seguros en la plataforma ServiceNow.

¿Qué es lo que está en peligro?

Cualquier dato que se aloje en una tabla en la que se hayan otorgado permisos de lectura al rol 'public' puede ser accesible a usuarios no autorizados.

¿Qué se ha hecho hasta la fecha?

ServiceNow realizó un mantenimiento proactivo en las instancias de sus clientes en mayo de 2023. Este mantenimiento ajustó el comportamiento del 'Simple List Widget' para evitar el acceso no autorizado a ciertos datos. La corrección está disponible en Tokyo Patch 8 & 7a, Utah Patch 1a & 2, San Diego Patch 10 Hot Fix 1a (y superiores). Nota: los widgets personalizados o clonados no se han corregido. Lee el artículo completo de la Knowledge (KB1279323) aquí.

¿Qué puedes hacer?

Si sospechas que estás utilizando un 'Simple List Widget' clonado o personalizado, o simplemente deseas revisar tu instancia para descartar una posible vulnerabilidad, te recomendamos que realices las siguientes actividades:

• Utiliza nuestro Instance Analyzer gratuito - en 15 minutos, tendrás un resultado claro sobre si tienes un riesgo de vulnerabilidad relacionado con la mala configuración del 'Simple List Widget'. Ejecuta una revisión rápida utilizando las reglas 'Avoid Public Widget List' y 'Avoid Empty Access Control' de nuestro análisis de las mejores prácticas. No es necesario ejecutar y esperar una revisión completa del análisis de las mejores prácticas para detectar estos elementos de riesgo potencial. Asegúrate de que tu paquete de contenido del análisis de las mejores prácticas está actualizado a la versión 1.4 para poder aplicar estas dos nuevas reglas. Más información sobre Instance Analyzer. 
• Si aún no lo tienes instalado, instala el plugin Explicit Roles. Este plugin actualizará cualquier OOB Access Controls que no tenga un requisito de rol, cerrando así cualquier ruta de acceso público. Nota: El plugin no actualizará ningún ACL Personalizado o Modificado. Lee más aquí.
• Comprueba tus funciones 'públicas' y ajusta el estado de las funciones en función de las necesidades y requisitos de tu empresa.

Seguimos avanzando

ServiceNow supervisa de manera proactiva las amenazas y actúa con rapidez para proteger a sus clientes, al igual que nosotros. Como platform advisor de tu plataforma ServiceNow, seguiremos compartiendo información que te permita utilizar ServiceNow de forma segura. Mientras tanto, si sigues los pasos indicados anteriormente, puedes estar seguro de que tu instancia está a salvo de accesos no autorizados.