**ServiceNow**, ein führendes Unternehmen für digitale Workflows, hat einen Sicherheitsvorfall bestätigt, bei dem ein nicht authentifizierter API-Endpunkt ausgenutzt wurde. Die Schwachstelle ermöglichte es unbefugten Akteuren, Daten aus Kundeninstanzen abzufragen, was Bedenken hinsichtlich der Offenlegung sensibler Unternehmensinformationen aufwirft. ### Stille Offenlegung und Behebung Das Unternehmen hat das Problem diskret behoben und betroffene Kunden über ein Support-Bulletin und direkte Support-Fälle informiert. Dieser Schritt folgte auf die Entdeckung von "anomalen Aktivitäten", die mit dem Fehler in Verbindung gebracht wurden. Am 5. Juni 2026 wurde ein Sicherheitsupdate für gehostete Kundeninstanzen bereitgestellt. Laut dem internen Bulletin behob das Update speziell ein Sicherheitsproblem, das einem nicht authentifizierten Benutzer unbeabsichtigten Zugriff auf **ServiceNow**-Instanzen gewähren konnte. Der Kern der Behebung bestand darin, den betroffenen API-Endpunkt so zu konfigurieren, dass der Zugriff nur noch für authentifizierte Benutzer eingeschränkt ist. ### Ausnutzung bestätigt **ServiceNow** hat bestätigt, dass Angreifer diese Schwachstelle erfolgreich ausgenutzt haben, um Tabellen von Kundeninstanzen abzufragen. Obwohl die spezifischen abgerufenen Daten nicht offengelegt wurden, enthalten **ServiceNow**-Instanzen üblicherweise eine Fülle sensibler Unternehmensdaten, darunter IT-Support-Tickets, Mitarbeiterakten, interne Dokumentationen, Inventarlisten, Berichte über Sicherheitsvorfälle und Konfigurationsdetails für Unternehmenssysteme. ### Die Anziehungskraft von Support-Tickets Support-Fallinformationen sind zu einem Hauptziel für Bedrohungsakteure geworden, da sie wertvolle Anmeldeinformationen, API-Tokens, interne Dokumentationen und Authentifizierungsgeheimnisse enthalten können, die oft während der Fehlerbehebungsprozesse geteilt werden. **ServiceNow** hat Support-Fälle mit allen identifizierten betroffenen Kunden eingeleitet. Wenn eine Organisation keine solche Kommunikation erhalten hat, wird davon ausgegangen, dass sie derzeit nicht von diesem Vorfall betroffen ist. ### Technische Details aus der Community Obwohl **ServiceNow** die technischen Details der Schwachstelle nicht öffentlich bekannt gegeben hat, deuten Diskussionen unter Administratoren auf **Reddit** darauf hin, dass das Problem mit einem REST-Endpunkt unter `/api/now/related_list_edit/create` zusammenhängt. Community-Mitglieder behaupten, dass dieser Endpunkt mit `requires_authentication=false` konfiguriert war, was nicht authentifizierte Anfragen zum Zugriff auf Instanzdaten ermöglichte. Das anschließende Sicherheitsupdate soll `requires_authentication` auf `true` gesetzt haben. Es wurden auch Indicators of Compromise (IoCs) geteilt, darunter API-Anfragen, die von der IP-Adresse `51.159.98.241` stammen. Administratoren wird empfohlen, ihre Protokolle auf Anfragen an den anfälligen Endpunkt zu überprüfen. ### Betroffene Versionen Das Sicherheitsproblem betrifft hauptsächlich Kunden, die die **Australia**-Plattformversion verwenden, oder solche auf älteren Versionen, die spezifische Konfigurationsänderungen vorgenommen hatten. ### Empfehlungen für Administratoren **ServiceNow** empfiehlt Administratoren, ihre Protokolle auf Anfragen an `/api/now/related_list_edit` zu überprüfen, insbesondere solche, die von `51.159.98.241` stammen. Betroffene Organisationen sollten außerdem: * Offengelegte Tickets und Aufzeichnungen auf sensible Informationen überprüfen. * Alle Anmeldeinformationen oder Tokens rotieren, die möglicherweise über Support-Workflows geteilt wurden. * Sicherstellen, dass die API-Protokollierung aktiviert ist, um zukünftige Erkennungsfähigkeiten zu verbessern. **ServiceNow** prüft derzeit noch, ob für dieses Problem eine **CVE** veröffentlicht wird.