**ServiceNow**, une entreprise leader dans les flux de travail numériques, a confirmé un incident de sécurité impliquant l'exploitation d'un point d'accès API non authentifié. La vulnérabilité a permis à des acteurs non autorisés d'interroger des données à partir d'instances clients, soulevant des inquiétudes quant à l'exposition d'informations d'entreprise sensibles. ### Divulgation silencieuse et remédiation L'entreprise a discrètement traité le problème, informant les clients impactés par le biais d'un bulletin de support et de cas de support directs. Cette action a suivi la détection d'une "activité anormale" liée à la faille. Une mise à jour de sécurité a été appliquée aux instances clients hébergées le 5 juin 2026. Selon le bulletin interne, la mise à jour a spécifiquement abordé un problème de sécurité qui pouvait accorder à un utilisateur non authentifié un accès involontaire aux instances **ServiceNow**. Le cœur de la correction a impliqué la reconfiguration du point d'accès API concerné pour restreindre l'accès aux utilisateurs authentifiés uniquement. ### Exploitation confirmée **ServiceNow** a confirmé que des attaquants ont exploité avec succès cette faille pour interroger les tables d'instances clients. Bien que les données spécifiques consultées restent non divulguées, les instances **ServiceNow** abritent couramment une richesse de données d'entreprise sensibles, y compris des tickets de support informatique, des dossiers d'employés, de la documentation interne, des inventaires d'actifs, des rapports d'incidents de sécurité et des détails de configuration pour les systèmes d'entreprise. ### L'attrait des tickets de support Les informations des cas de support sont devenues une cible de choix pour les acteurs malveillants en raison de leur potentiel à contenir des identifiants précieux, des jetons API, de la documentation interne et des secrets d'authentification souvent partagés lors des processus de dépannage. **ServiceNow** a initié des cas de support avec tous les clients identifiés comme affectés. Si une organisation n'a pas reçu une telle communication, elle n'est actuellement pas considérée comme impactée par cet incident. ### Détails techniques émergents de la communauté Bien que **ServiceNow** n'ait pas publié publiquement les spécificités techniques de la vulnérabilité, les discussions entre administrateurs sur **Reddit** suggèrent que le problème est lié à un point d'accès REST situé à `/api/now/related_list_edit/create`. Les membres de la communauté affirment que ce point d'accès était configuré avec `requires_authentication=false`, permettant aux requêtes non authentifiées d'accéder aux données de l'instance. La mise à jour de sécurité subséquente aurait défini `requires_authentication` à `true`. Des indicateurs de compromission (IoCs) ont également été partagés, y compris des requêtes API provenant de l'adresse IP `51.159.98.241`. Il est conseillé aux administrateurs d'examiner attentivement leurs journaux pour les requêtes vers le point d'accès vulnérable. ### Versions affectées Le problème de sécurité affecte principalement les clients exécutant la version de plateforme **Australia** ou ceux sur des versions plus anciennes qui avaient implémenté des changements de configuration spécifiques. ### Recommandations pour les administrateurs **ServiceNow** recommande aux administrateurs de consulter leurs journaux pour toute requête vers `/api/now/related_list_edit`, en particulier celles provenant de `51.159.98.241`. Les organisations impactées devraient également : * Examiner les tickets et les enregistrements exposés pour toute information sensible. * Faire pivoter les identifiants ou les jetons qui auraient pu être partagés via les flux de travail de support. * S'assurer que la journalisation des API est activée pour améliorer les futures capacités de détection. **ServiceNow** évalue encore si un **CVE** sera publié pour ce problème.