AppOmni: Misconfigurasi KB ServiceNow sebabkan kebocoran data

Sebuah studi terbaru mengungkapkan bahwa lebih dari 1.000 instance ServiceNow perusahaan secara tidak sengaja telah membocorkan data sensitif melalui Knowledge Base (KB), menimbulkan risiko keamanan yang signifikan bagi organisasi yang terdampak. 

Dilansir dari Cyber Security (18/9), penelitian yang dilakukan oleh AppOmni selama setahun terakhir menunjukkan bahwa hampir 45% dari total instance perusahaan yang diuji memiliki kontrol akses KB yang salah konfigurasi. Hal ini menyebabkan data sensitif, seperti informasi identitas pribadi (PII), detail sistem internal, serta kredensial aktif atau token untuk sistem produksi, terekspos ke publik.

Organisasi yang menggunakan banyak instance ServiceNow secara konsisten menunjukkan kesalahan konfigurasi kontrol akses KB pada setiap instance, yang mengindikasikan kurangnya pemahaman atau pengulangan praktik pengelolaan yang buruk secara tidak disengaja.

Akar masalah kerentanan ini terletak pada kompleksitas User Criteria, yang digunakan untuk mengamankan KB, alih-alih Access Control Lists (ACL). Berbeda dengan ACL, yang baru-baru ini ditingkatkan dengan atribut keamanan "UserIsAuthenticated", User Criteria tidak memiliki lapisan keamanan tambahan ini.

"Masalah utama (ACL yang salah konfigurasi) telah diatasi melalui penambahan atribut keamanan secara default pada ACL out-of-the-box (OOB), sementara jalur eksposur data (widget publik) diatasi melalui penambahan properti sistem yang membatasi data yang dapat diakses oleh widget," ungkap Aaron Costello dari AppOmni.

Namun, banyak administrator tidak menyadari bahwa beberapa User Criteria, seperti "Any User" dan "Any user for kb", memberikan akses kepada pengguna yang tidak terautentikasi, sehingga memicu eksposur data yang tidak disengaja. 

Studi ini juga menyoroti bahwa banyak instance perusahaan yang dibuat sebelum rilis Orlando masih menggunakan pengaturan "allow public access by default" yang tidak aman untuk KB.

Dalam studi tersebut, peneliti mendemonstrasikan betapa mudahnya bagi aktor jahat yang tidak terautentikasi untuk mengakses artikel KB yang tidak aman menggunakan proxy HTTP seperti Burp Suite, yang memungkinkan brute-forcing ID artikel dan dengan cepat mengidentifikasi artikel yang terekspos.

Sehubungan dengan temuan ini, organisasi didesak untuk segera mengambil tindakan guna mengamankan KB mereka. Langkah-langkah yang direkomendasikan termasuk memahami properti keamanan yang relevan, mengaktifkan Business Rules out-of-the-box untuk mencegah akses tidak terautentikasi secara default, serta secara rutin menjalankan diagnostik pada kontrol akses KB menggunakan alat bawaan ServiceNow.

Dengan mengatasi kerentanan ini, organisasi dapat secara signifikan mengurangi risiko kebocoran data dan melindungi aset kritis mereka.