**ServiceNow**, una empresa líder en flujos de trabajo digitales, ha confirmado un incidente de seguridad que involucra la explotación de un endpoint de API sin autenticación. La vulnerabilidad permitió a actores no autorizados consultar datos de instancias de clientes, generando preocupación sobre la exposición de información empresarial sensible. ### Divulgación Silenciosa y Remediación La compañía abordó el problema de manera discreta, informando a los clientes afectados a través de un boletín de soporte y casos de soporte directos. Esta acción siguió a la detección de "actividad anómala" vinculada a la falla. Se aplicó una actualización de seguridad a las instancias de clientes alojadas el 5 de junio de 2026. Según el boletín interno, la actualización abordó específicamente un problema de seguridad que podría otorgar a un usuario sin autenticación acceso no intencionado a las instancias de **ServiceNow**. El núcleo de la solución implicó reconfigurar el endpoint de API afectado para restringir el acceso únicamente a usuarios autenticados. ### Explotación Confirmada **ServiceNow** ha confirmado que los atacantes explotaron con éxito esta falla para consultar tablas de instancias de clientes. Si bien los datos específicos accedidos no se han revelado, las instancias de **ServiceNow** comúnmente albergan una gran cantidad de datos empresariales sensibles, incluidos tickets de soporte de TI, registros de empleados, documentación interna, inventarios de activos, informes de incidentes de seguridad y detalles de configuración de sistemas corporativos. ### El Atractivo de los Tickets de Soporte La información de los casos de soporte se ha convertido en un objetivo principal para los actores de amenazas debido a su potencial para contener credenciales valiosas, tokens de API, documentación interna y secretos de autenticación que a menudo se comparten durante los procesos de resolución de problemas. **ServiceNow** ha iniciado casos de soporte con todos los clientes afectados identificados. Si una organización no ha recibido dicha comunicación, actualmente no se cree que esté impactada por este incidente. ### Detalles Técnicos Emergen de la Comunidad Aunque **ServiceNow** no ha publicado públicamente los detalles técnicos de la vulnerabilidad, las discusiones entre administradores en **Reddit** sugieren que el problema está relacionado con un endpoint REST ubicado en `/api/now/related_list_edit/create`. Los miembros de la comunidad afirman que este endpoint estaba configurado con `requires_authentication=false`, lo que permitía que las solicitudes sin autenticación accedieran a los datos de la instancia. La posterior actualización de seguridad supuestamente estableció `requires_authentication` en `true`. También se han compartido indicadores de compromiso (IoCs), incluidas solicitudes de API originadas en la dirección IP `51.159.98.241`. Se recomienda a los administradores que examinen sus registros en busca de solicitudes al endpoint vulnerable. ### Versiones Afectadas El problema de seguridad afecta principalmente a los clientes que ejecutan la versión de plataforma de **Australia** o aquellos en versiones anteriores que habían implementado cambios de configuración específicos. ### Recomendaciones para Administradores **ServiceNow** recomienda que los administradores revisen sus registros en busca de cualquier solicitud a `/api/now/related_list_edit`, particularmente aquellas que se originan en `51.159.98.241`. Las organizaciones afectadas también deben: * Revisar los tickets y registros expuestos en busca de información sensible. * Rotar cualquier credencial o token que pueda haber sido compartido a través de flujos de trabajo de soporte. * Asegurarse de que el registro de API esté habilitado para mejorar las capacidades de detección futuras. **ServiceNow** aún está evaluando si se publicará un **CVE** para este problema.