Calmer les craintes injustifiées autour de la sécurité de ServiceNow

Des articles récents ont pu susciter des inquiétudes quant à la vulnérabilité d'un widget ServiceNow prêt à l'emploi, qui pourrait entraîner un accès non souhaité à des données. Ces inquiétudes semblent toutefois exagérées. Tout d'abord, il est important de noter que cette étude est centrée sur toutes les plateformes cloud, et pas seulement sur ServiceNow. Deuxièmement, le problème a été traité de manière proactive par ServiceNow en mai 2023, soit cinq mois avant la publication des articles. Bien que nous ne prévoyions pas de risque important, nous vous fournissons ci-dessous quelques informations et recommandations additionnelles pour vous rassurer sur le fait que les données de votre entreprise restent protégées et sécurisées sur la plateforme ServiceNow.

Quels sont les risques ?

Toutes les données hébergées dans une table pour laquelle le statut "public" a reçu une autorisation de lecture peuvent être accessibles à des utilisateurs non autorisés.

Qu'est-ce qui a été fait jusqu'à présent ?

ServiceNow a effectué une maintenance proactive sur les instances des clients en mai 2023. Cette maintenance a modifié le comportement du "Simple List Widget » (ou la liste simple de Widget) afin d'empêcher l'accès non autorisé à certaines données. La correction est disponible dans les patchs 8 et 7a de Tokyo, les patchs 1a et 2 de l'Utah, le patch 10 Hot Fix 1a de San Diego (et plus). Note : les widgets personnalisés ou clonés n'ont pas été corrigés. Lisez l'article complet (KB1279323) ici.

Que pouvez-vous faire ?

Si vous pensez utiliser un clone ou une "Simple List Widget" personnalisé, ou si vous souhaitez simplement examiner votre instance pour éliminer une vulnérabilité potentielle, nous vous recommandons d'effectuer les opérations suivantes :

• Utilisez notre analyseur d'instance gratuit - en 15 minutes, vous saurez exactement s'il existe un risque de vulnérabilité lié à la mauvaise configuration du "Simple List Widget". Procédez à un examen rapide à l'aide des règles "Éviter la liste des widgets publics" et "Éviter le contrôle d'accès vide" de notre analyse des meilleures pratiques. Vous n'avez pas besoin d'effectuer et d'attendre un examen complet de l'analyse des meilleures méthodes pour détecter les risques potentiels. Assurez-vous que votre ensemble de contenu d'analyse des meilleures pratiques a été mis à jour à la version 1.4 pour recevoir ces deux nouvelles règles. En savoir plus sur Instance Analyzer (l'analyseur d'instances). 
• Si ce n'est pas déjà fait, installez le plugin Explicit Roles (ou rôles explicites). Ce plugin mettra à jour tous les contrôles d'accès OOB qui ne requièrent pas de statut, fermant ainsi toute possibilité d'accès du public. Note : Le plugin ne mettra pas à jour les ACL personnalisés ou modifiés. Plus de détails ici.
• Vérifiez les attributs "publics" et modifiez leur statut en fonction des besoins et des impératifs de l'entreprise.

Pour avancer

ServiceNow examine attentivement les menaces et agit rapidement pour protéger ses clients - tout comme nous. En tant que conseiller de votre plateforme ServiceNow, nous continuerons à partager les informations qui vous permettent d'utiliser ServiceNow en toute sécurité. En attendant, en prenant les mesures décrites ci-dessus, vous pouvez être sûr que votre instance sera protégée contre tout accès non autorisé.