Ein kürzlich aufgetretener Sicherheitsvorfall bei ServiceNow verdeutlicht ein erhebliches Risiko für Unternehmen, die auf Cloud-Workflow- und IT-Service-Management-Plattformen setzen. ServiceNow gab bekannt, dass eine Software-Sicherheitslücke, von der bestimmte Kundeninstanzen betroffen waren, den nicht authentifizierten Zugriff auf Daten über einen anfälligen API-Endpunkt ermöglichte. Durch diesen Umstand wurden die Authentifizierungskontrollen effektiv umgangen, sodass externe Parteien ohne gültige Anmeldedaten auf gespeicherte Daten zugreifen konnten.

Die Schwachstelle scheint mit einem API-Endpunkt (angeblich /api/now/related_list_edit/create) in Verbindung zu stehen, der unsachgemäß konfiguriert war und bei dem die Authentifizierung deaktiviert war. Infolgedessen konnte jede Partei, die den Endpunkt kannte, versuchen, Daten aus den betroffenen Instanzen abzurufen. ServiceNow behob das Problem am 5. Juni 2026, indem es Authentifizierungsanforderungen für den Endpunkt durchsetzte. Das Unternehmen räumte jedoch ein, dass bereits vor der Behebung ungewöhnliche Aktivitäten beobachtet worden waren, bei denen einige Daten von Kundeninstanzen erfolgreich abgefragt wurden.

Obwohl ServiceNow angab, dass die beobachteten Aktivitäten eher mit Sicherheitsforschern und Bug-Bounty-Meldungen als mit bestätigten böswilligen Akteuren in Verbindung standen, beseitigt diese Unterscheidung nicht die Auswirkungen auf die Sicherheit. Aus Sicht der Verteidigung und des Risikomanagements bleibt das Ergebnis dasselbe: Es kam zu einer Datenpreisgabe über einen nicht authentifizierten Pfad. Darüber hinaus hat das Unternehmen weder den vollen Umfang der betroffenen Kunden öffentlich angegeben noch detaillierte Einblicke darüber gegeben, auf welche Datentypen in den einzelnen Fällen zugegriffen wurde.

Diese Schwachstelle ist aufgrund der Art der Daten, die typischerweise in ServiceNow-Umgebungen gespeichert werden, besonders besorgniserregend. Unternehmensinstanzen enthalten oft sensible betriebliche und sicherheitsrelevante Informationen, darunter IT-Service-Tickets, Mitarbeiterdaten, Daten zur Incident-Response, interne Dokumentation sowie potenziell eingebettete Anmeldedaten oder API-Token, die während der Fehlerbehebung weitergegeben werden. Angreifer nehmen häufig Support-Systeme ins Visier, da diese als Sammelstellen für hochwertige Kontextinformationen dienen, die für Folgeangriffe wie Privilegieneskalation, laterale Bewegung oder Kompromittierung der Lieferkette genutzt werden können.

Der zeitliche Verlauf des Vorfalls gibt aus Sicht der Bedrohungsanalyse Anlass zu zusätzlicher Sorge. ServiceNow soll im April 2026 eine vertrauliche Bug-Bounty-Meldung erhalten haben, in der ein ähnliches Problem beschrieben wurde, hat jedoch erst Anfang Juni ein Sicherheitsupdate bereitgestellt, nachdem Aktivitäten, die auf Kundeninstanzen abzielten, bereits begonnen hatten. Diese Lücke zwischen Entdeckung und Behebung erhöht die Wahrscheinlichkeit, dass sich das Wissen um die Schwachstelle über vertrauenswürdige Forscher hinaus verbreitet hat, sei es durch unabhängige Entdeckung oder versehentliche Offenlegung.

Ein weiterer bemerkenswerter Aspekt ist die potenzielle Variabilität der Gefährdung. Während ServiceNow angab, dass das Problem in erster Linie Instanzen auf der Plattformversion „Australia“ oder solche mit bestimmten Konfigurationsänderungen betraf, deuten Berichte aus der Community auf weitreichendere Auswirkungen auf andere Versionen hin. Dies lässt vermuten, dass Fehlkonfigurationen oder über Umgebungen hinweg vererbte Einstellungen die Angriffsfläche über die ursprünglich angenommenen Grenzen hinaus erweitert haben könnten.

Zu den Indikatoren für eine Kompromittierung im Zusammenhang mit dieser Aktivität gehören Anfragen, die von der IP-Adresse 51.159.98.241 stammen, sowie Zugriffsversuche, die auf den oben genannten API-Endpunkt abzielen. Auch wenn die Zuordnung weiterhin unklar ist, sollten Sicherheitsverantwortliche jeden Hinweis auf einen nicht authentifizierten API-Zugriff unabhängig von der Quelle als verdächtig einstufen.

Aus Sicht der Bedrohungslage bestätigt dieser Vorfall mehrere wichtige Trends. Cloud-SaaS-Plattformen stellen weiterhin hochwertige, zentralisierte Ziele dar, bei denen eine einzige Schwachstelle mehrere Organisationen gleichzeitig gefährden kann. Fehlkonfigurationen von APIs und Fehler bei der Zugriffskontrolle sind nach wie vor eine der Hauptursachen für Datenlecks in Cloud-Umgebungen. Darüber hinaus macht die Abhängigkeit von herstellerverwalteter Sicherheit die Notwendigkeit von Transparenz, Protokollierung und Validierungskontrollen auf Kundenseite nicht überflüssig.

Was Sie tun sollten

Unternehmen, die ServiceNow nutzen, sollten unverzüglich eine retrospektive Protokollanalyse durchführen, die mindestens den Zeitraum von Anfang April bis Mitte Juni 2026 abdeckt, wobei besonders auf nicht authentifizierte oder anomale API-Anfragen zu achten ist. Alle Zugriffsversuche, die den betreffenden Endpunkt betreffen oder von bekannten Indikatoren wie 51.159.98.241 ausgehen, sollten als potenzielle Datenlecks untersucht werden. Selbst wenn die Aktivitäten Forschern zugeschrieben werden, müssen die abgerufenen Daten als potenziell kompromittiert betrachtet werden.

Sie sollten alle Datensätze überprüfen, die möglicherweise über ServiceNow-Workflows offengelegt wurden, insbesondere Support-Tickets, Vorfallberichte und Einträge in der Wissensdatenbank. Jeder Fall, in dem Anmeldedaten, API-Schlüssel, Authentifizierungstoken oder sensible Konfigurationsdetails weitergegeben wurden, sollte einen obligatorischen Rotationsprozess auslösen. Dazu gehören Passwörter, Schlüssel für Dienstkonten, OAuth-Token und alle in Anhängen oder Notizen eingebetteten Geheimnisse.

Stellen Sie sicher, dass die Protokollierung des API-Zugriffs vollständig aktiviert ist und künftig für einen angemessenen Zeitraum aufbewahrt wird. Wenn die Protokollierung zuvor deaktiviert oder unzureichend war, sollte dieser Vorfall als Lücke in der Erkennungsfähigkeit behandelt werden, die behoben werden muss. Erwägen Sie die Integration von ServiceNow-Protokollen in eine zentralisierte SIEM- oder XDR-Plattform, um eine Korrelation mit anderen Sicherheitssignalen zu ermöglichen.

Es ist entscheidend, zu überprüfen, ob alle ServiceNow-Instanzen die gepatchte Konfiguration ausführen und ob keine Anpassungen oder veralteten Einstellungen die Authentifizierungsanforderungen an API-Endpunkten außer Kraft setzen. Konfigurationsabweichungen sollten bewertet werden, insbesondere bei älteren Instanzen oder Umgebungen mit umfangreichen Anpassungen.

Wenn Sie Bedenken hinsichtlich einer der in diesem Bulletin beschriebenen Bedrohungen haben oder Hilfe bei der Festlegung der Maßnahmen benötigen, mit denen Sie sich vor den für Ihr Unternehmen relevantesten Bedrohungen schützen können, wenden Sie sich bitte an Ihren Kundenbetreuer oder kontaktieren Sieuns,um zu erfahren, wie Sie Ihr Unternehmen schützen können.