En säkerhetsincident som nyligen drabbat ServiceNow belyser en betydande risk för företag som förlitar sig på molnbaserade plattformar för arbetsflöden och IT-tjänstehantering. ServiceNow har meddelat att en programvarufel som drabbat vissa kundinstanser möjliggjorde obehörig åtkomst till data via en sårbar API-ändpunkt. Detta gjorde att autentiseringskontrollerna i praktiken kringgicks, vilket gjorde det möjligt för externa parter att hämta lagrad data utan giltiga inloggningsuppgifter.

Sårbarheten verkar ha varit kopplad till en API-ändpunkt (enligt uppgift /api/now/related_list_edit/create) som var felaktigt konfigurerad med inaktiverad autentisering. Som ett resultat kunde alla parter som kände till ändpunkten försöka hämta data från drabbade instanser. ServiceNow åtgärdade problemet den 5 juni 2026 genom att införa autentiseringskrav på slutpunkten. Företaget erkände dock att onormal aktivitet redan hade observerats före åtgärden, och att vissa kundinstansdata hade hämtats framgångsrikt.

Även om ServiceNow uppgav att den observerade aktiviteten var kopplad till säkerhetsforskare och inlämnade buggbounty-rapporter snarare än bekräftade illvilliga aktörer, eliminerar denna distinktion inte säkerhetspåverkan. Ur ett försvars- och riskhanteringsperspektiv förblir resultatet detsamma: dataexponering inträffade via en oautentiserad väg. Dessutom specificerade företaget inte offentligt den fullständiga omfattningen av drabbade kunder, och gav inte heller detaljerad insyn i vilka datatyper som man hade tillgång till i varje enskilt fall.

Denna sårbarhet är särskilt oroande på grund av den typ av data som vanligtvis lagras i ServiceNow-miljöer. Företagsinstanser innehåller ofta känslig operativ och säkerhetsrelaterad information, inklusive IT-tjänstetickets, personalregister, incidenthanteringsdata, intern dokumentation och potentiellt inbäddade inloggningsuppgifter eller API-tokens som delas under felsökningsarbetsflöden. Hotaktörer riktar ofta in sig på supportsystem eftersom de fungerar som samlingspunkter för värdefull kontextuell information som kan utnyttjas för uppföljande attacker, såsom privilegieeskalering, lateral rörelse eller kompromettering av leveranskedjan.

Tidslinjen för problemet väcker ytterligare oro ur ett hotinformationsperspektiv. ServiceNow ska enligt uppgift ha mottagit en konfidentiell bug bounty-rapport som beskrev ett liknande problem i april 2026, men implementerade inte en säkerhetsuppdatering förrän i början av juni, efter att aktiviteter riktade mot kundinstanser redan hade påbörjats. Detta glapp mellan upptäckt och åtgärd ökar sannolikheten för att kunskapen om bristen kan ha spridits utanför kretsen av betrodda forskare, antingen genom oberoende upptäckt eller oavsiktlig avslöjande.

En annan anmärkningsvärd aspekt är den potentiella variationen i exponering. Medan ServiceNow angav att problemet främst påverkade instanser på plattformsversionen ”Australia” eller sådana med specifika konfigurationsändringar, tyder rapporter från användargemenskapen på en bredare påverkan över andra versioner. Detta väcker möjligheten att felkonfigurationer eller ärvda inställningar över miljöer kan ha utökat exponeringsytan bortom de initialt förstådda gränserna.

Indikatorer på intrång i samband med denna aktivitet inkluderar förfrågningar som härrör från IP-adressen 51.159.98.241 och åtkomstförsök riktade mot den ovannämnda API-ändpunkten. Även om källan fortfarande är oklar bör säkerhetsansvariga behandla alla tecken på oautentiserad API-åtkomst som misstänkta, oavsett källa.

Ur ett hotperspektiv förstärker denna incident flera viktiga trender. Molnbaserade SaaS-plattformar fortsätter att utgöra värdefulla centraliserade mål där en enda sårbarhet kan utsätta flera organisationer samtidigt. Felkonfigurationer av API:er och brister i åtkomstkontrollen är fortfarande en av de främsta orsakerna till dataläckage i molnmiljöer. Dessutom eliminerar inte förlitan på leverantörshanterad säkerhet behovet av synlighet, loggning och valideringskontroller på kundsidan.

Vad du bör göra

Organisationer som använder ServiceNow bör omedelbart utföra en retrospektiv logganalys som täcker åtminstone perioden från början av april till mitten av juni 2026, med särskild uppmärksamhet på oautentiserade eller avvikande API-förfrågningar. Alla åtkomstförsök som involverar den relevanta slutpunkten eller som härrör från kända indikatorer såsom 51.159.98.241 bör utredas som potentiella händelser med dataläckage. Även om aktiviteten tillskrivs forskare måste de data som man har fått åtkomst till betraktas som potentiellt komprometterade.

Du bör granska alla poster som kan ha exponerats genom ServiceNow-arbetsflöden, särskilt supportärenden, incidentrapporter och kunskapsbasposter. Alla fall där inloggningsuppgifter, API-nycklar, autentiseringstoken eller känsliga konfigurationsuppgifter har delats bör utlösa en obligatorisk rotationsprocess. Detta inkluderar lösenord, servicekontonnycklar, OAuth-token och alla inbäddade hemligheter i bilagor eller anteckningar.

Se till att loggning av API-åtkomst är fullt aktiverad och bevaras under en tillräcklig tidsperiod framöver. Om loggningen tidigare var inaktiverad eller otillräcklig bör denna incident behandlas som en brist i detekteringsförmågan som måste åtgärdas. Överväg att integrera ServiceNow-loggar i en centraliserad SIEM- eller XDR-plattform för att möjliggöra korrelation med andra säkerhetssignaler.

Det är avgörande att kontrollera att alla ServiceNow-instanser kör den uppdaterade konfigurationen och att inga anpassningar eller äldre inställningar åsidosätter autentiseringskraven på API-ändpunkter. Konfigurationsavvikelser bör utvärderas, särskilt i äldre instanser eller miljöer med omfattande anpassningar.

Om du är orolig för någon av de hot som beskrivs i detta meddelande eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten som din organisation står inför, vänligen kontakta din kundansvarige eller ta kontaktmed oss för att ta reda på hur du kan skydda din organisation.