No más miedos injustificados en torno a la seguridad de ServiceNow

Es posible que artículos recientes hayan planteado algunas preocupaciones sobre una vulnerabilidad con un widget de ServiceNow listo para usar que podría resultar en un acceso no deseado a los datos. Sin embargo, estas preocupaciones parecen exageradas. Por un lado, es importante señalar que esta investigación se centra en todas las plataformas en la nube, no solo en ServiceNow. Y, por el otro, ServiceNow abordó el problema de forma proactiva en mayo de 2023, cinco meses antes de la publicación de los artículos. Si bien no anticipamos ningún riesgo significativo, a continuación, proporcionamos información y recomendaciones adicionales para garantizarte que los datos de tu empresa permanezcan seguros en la plataforma de ServiceNow.

¿Qué está en riesgo?

Cualquier dato alojado en una tabla donde el rol “público” tenga permisos de lectura puede ser accesible para usuarios no autorizados.

¿Qué se ha hecho hasta ahora?

ServiceNow realizó un mantenimiento proactivo en las instancias de los clientes en mayo de 2023. Este mantenimiento ajustó el comportamiento del “widget de lista simple” para evitar el acceso no autorizado a determinados datos. La solución está disponible en los parches 8 y 7a de Tokio, los parches 1a y 2 de Utah, el parche 10 Hot Fix 1a de San Diego (y superiores). Nota: Los widgets personalizados o clonados no se corrigieron. Lee el artículo completo de Knowledge (KB1279323) aquí.

¿Qué puedes hacer?

Si sospechas que estás usando un “widget de lista simple” clonado o personalizado, o solo deseas revisar tu instancia para descartar una posible vulnerabilidad, te recomendamos realizar las siguientes actividades:

• Usa nuestro Instance Analyzer gratuito: en quince minutos, tendrás un resultado claro sobre si tienes un riesgo de vulnerabilidad relacionado con la mala configuración del “widget de lista simple”. Ejecuta una revisión rápida usando las reglas “Evitar lista de widgets públicos” y “Evitar control de acceso vacío” de nuestro análisis de mejores prácticas. No es necesario ejecutar y esperar una revisión completa del análisis de mejores prácticas para detectar estos elementos de riesgo potencial. Asegúrate de que tu paquete de contenido de análisis de mejores prácticas esté actualizado a la versión 1.4 para recibir estas dos nuevas reglas. Obtén más información sobre Instance Analyzer. 
• Si aún no está instalado, instala el complemento Explicit Roles. Este complemento actualizará cualquier control de acceso listo para usar que no tenga un requisito de rol, y así se cerrará cualquier ruta de acceso público. Nota: El complemento no actualizará ninguna ACL personalizada o modificada. Lee más aquí.
• Verifica tus roles “públicos” y ajusta el estado de los roles en consecuencia según las necesidades y los requisitos empresariales.

Avanzamos

ServiceNow monitorea diligentemente las amenazas y actúa rápidamente para proteger a los clientes, al igual que nosotros. Como tu asesor de la plataforma de ServiceNow, seguiremos compartiendo información que te permita utilizar ServiceNow de forma segura. Mientras tanto, si sigues los pasos mencionados anteriormente, puedes tener la certeza de que tu instancia está a salvo del acceso no autorizado.