Un recente incidente di sicurezza che ha coinvolto ServiceNow evidenzia un rischio significativo per le aziende che si affidano a piattaforme cloud per la gestione dei flussi di lavoro e dei servizi IT. ServiceNow ha reso noto che una falla nel software, che interessava alcune istanze dei clienti, consentiva l'accesso non autenticato ai dati tramite un endpoint API vulnerabile. Questa condizione aggirava di fatto i controlli di autenticazione, permettendo a soggetti esterni di interrogare i dati archiviati senza credenziali valide.

La vulnerabilità sembra essere stata collegata a un endpoint API (secondo quanto riferito /api/now/related_list_edit/create) che era stato configurato in modo errato con l'autenticazione disabilitata. Di conseguenza, qualsiasi soggetto a conoscenza dell'endpoint poteva tentare di recuperare dati dalle istanze interessate. ServiceNow ha risolto il problema il 5 giugno 2026, applicando requisiti di autenticazione all'endpoint. Tuttavia, l'azienda ha riconosciuto che erano già state osservate attività anomale prima della correzione, con alcuni dati delle istanze dei clienti interrogati con successo.

Sebbene ServiceNow abbia dichiarato che l'attività osservata fosse associata a ricercatori di sicurezza e segnalazioni di bug bounty piuttosto che ad attori malintenzionati confermati, questa distinzione non elimina l'impatto sulla sicurezza. Dal punto di vista della difesa e della gestione del rischio, il risultato rimane lo stesso: l'esposizione dei dati è avvenuta attraverso un percorso non autenticato. Inoltre, l'azienda non ha specificato pubblicamente l'entità completa dei clienti interessati, né ha fornito una visibilità dettagliata sui tipi di dati a cui si è avuto accesso in ciascun caso.

Questa vulnerabilità è particolarmente preoccupante a causa della natura dei dati tipicamente archiviati negli ambienti ServiceNow. Le istanze aziendali contengono spesso informazioni operative e relative alla sicurezza sensibili, inclusi ticket di assistenza IT, registrazioni dei dipendenti, dati di risposta agli incidenti, documentazione interna e credenziali potenzialmente incorporate o token API condivisi durante i flussi di lavoro di risoluzione dei problemi. Gli autori delle minacce prendono spesso di mira i sistemi di supporto perché fungono da punti di aggregazione per informazioni contestuali di alto valore che possono essere sfruttate per attacchi successivi come l'escalation dei privilegi, il movimento laterale o la compromissione della catena di fornitura.

La cronologia del problema introduce ulteriori preoccupazioni dal punto di vista dell'intelligence sulle minacce. Secondo quanto riferito, ServiceNow avrebbe ricevuto una segnalazione riservata di bug bounty che descriveva un problema simile nell'aprile 2026, ma non ha distribuito un aggiornamento di sicurezza fino all'inizio di giugno, quando l'attività mirata alle istanze dei clienti era già iniziata. Questo intervallo tra la scoperta e la correzione aumenta la probabilità che la conoscenza della vulnerabilità si sia diffusa al di là dei ricercatori di fiducia, sia attraverso una scoperta indipendente che una divulgazione involontaria.

Un altro aspetto degno di nota è la potenziale variabilità dell'esposizione. Sebbene ServiceNow abbia indicato che il problema ha interessato principalmente le istanze della versione della piattaforma "Australia" o quelle con specifiche modifiche di configurazione, i rapporti della comunità suggeriscono un impatto più ampio su altre versioni. Ciò solleva la possibilità che configurazioni errate o impostazioni ereditate tra gli ambienti possano aver esteso la superficie di esposizione oltre i confini inizialmente previsti.

Gli indicatori di compromissione associati a questa attività includono richieste provenienti dall'indirizzo IP 51.159.98.241 e tentativi di accesso mirati al suddetto endpoint API. Sebbene l'attribuzione rimanga poco chiara, i difensori dovrebbero considerare sospetta qualsiasi prova di accesso API non autenticato, indipendentemente dalla fonte.

Dal punto di vista del panorama delle minacce, questo incidente rafforza diverse tendenze importanti. Le piattaforme SaaS cloud continuano a rappresentare obiettivi centralizzati di alto valore in cui una singola vulnerabilità può esporre più organizzazioni contemporaneamente. Le configurazioni errate delle API e i fallimenti nel controllo degli accessi rimangono una delle cause principali dell'esposizione dei dati negli ambienti cloud. Inoltre, l'affidamento alla sicurezza gestita dal fornitore non elimina la necessità di visibilità, registrazione e controlli di convalida da parte del cliente.

Cosa dovreste fare

Le organizzazioni che utilizzano ServiceNow dovrebbero eseguire immediatamente un'analisi retrospettiva dei log che copra almeno il periodo compreso tra l'inizio di aprile e la metà di giugno 2026, con particolare attenzione alle richieste API non autenticate o anomale. Qualsiasi tentativo di accesso che coinvolga l'endpoint in questione o che provenga da indicatori noti come 51.159.98.241 dovrebbe essere indagato come potenziale evento di esposizione dei dati. Anche se l'attività è attribuita a ricercatori, i dati a cui si è avuto accesso devono essere considerati potenzialmente compromessi.

È necessario esaminare tutti i record che potrebbero essere stati esposti attraverso i flussi di lavoro di ServiceNow, in particolare i ticket di assistenza, i record degli incidenti e le voci della knowledge base. Qualsiasi caso in cui siano state condivise credenziali, chiavi API, token di autenticazione o dettagli di configurazione sensibili dovrebbe innescare un processo di rotazione obbligatorio. Ciò include password, chiavi degli account di servizio, token OAuth e qualsiasi segreto incorporato in allegati o note.

Assicurarsi che la registrazione degli accessi alle API sia completamente abilitata e conservata per un periodo di tempo adeguato in futuro. Se la registrazione era precedentemente disabilitata o insufficiente, questo incidente dovrebbe essere trattato come una lacuna nella capacità di rilevamento che necessita di correzione. Considerare l'integrazione dei log di ServiceNow in una piattaforma SIEM o XDR centralizzata per consentire la correlazione con altri segnali di sicurezza.

È fondamentale verificare che tutte le istanze di ServiceNow stiano utilizzando la configurazione aggiornata e che nessuna personalizzazione o impostazione legacy prevalga sui requisiti di autenticazione sugli endpoint API. È necessario valutare eventuali scostamenti di configurazione, in particolare nelle istanze più datate o negli ambienti con un elevato livello di personalizzazione.

Se siete preoccupati per una delle minacce descritte in questo bollettino o avete bisogno di aiuto per determinare quali misure adottare per proteggervi dalle minacce più rilevanti che la vostra organizzazione deve affrontare, contattate il vostro account manager o, in alternativa, contattateciper scoprire come proteggere la vostra organizzazione.