B
今週中
ServiceNowの安全缺陷が悪用され、未認証のユーザーが特定の条件下で顧客インスタンスのデータテーブルを照会できる問題が発生しました
📌 一言でいうと
ServiceNowの安全缺陷が悪用され、未認証のユーザーが特定の条件下で顧客インスタンスのデータテーブルを照会できる問題が発生しました。この問題は主にオーストラリア版または特定の構成変更を行った旧バージョンのユーザーに影響し、一部の環境でデータ照会の証拠が確認されています。ServiceNowは既にセキュリティ更新を適用し、APIエンドポイントへのアクセスを認証済みユーザーのみに制限しました。
🔍該当判定
- 社内で「ServiceNow」というクラウドプラットフォームを利用している
- ServiceNowの利用環境(インスタンス)が「オーストラリア(Australia)版」である
- ServiceNowでAPI(/api/now/related_list_edit)を利用した外部連携設定を行っている
- ServiceNowの管理画面で、認証なしでアクセス可能なAPIエンドポイントを独自に設定したことがある
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. ServiceNowの最新のセキュリティ更新が適用されているか確認する。 2. ログを確認し、不審なAPIリクエスト(特に /api/now/related_list_edit へのアクセス)がないか調査する。 3. 漏洩の可能性がある認証情報やAPIトークンを速やかに更新・変更する。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】ServiceNow API脆弱性によるデータ漏洩の可能性について
お疲れさまです。ServiceNowのAPI脆弱性に関する情報共有です。
■ 概要
未認証のユーザーが特定のAPIエンドポイント(/api/now/related_list_edit/create)を悪用し、顧客インスタンスのデータテーブルを照会できる脆弱性が確認されました。一部の環境で実際にデータが照会された形跡が報告されています。
■ 影響範囲
- ServiceNow Australia版、または特定の設定変更を行った旧バージョン
■ 対応手順
1. ベンダーによる自動更新が適用されているか、最新の状態であるかを確認してください。
2. 以下のIOC(IPアドレス: 51.159.98.241)およびパス(/api/now/related_list_edit)への不審なアクセスログがないか確認してください。
3. 万が一、不審なアクセスが確認された場合は、関連するAPIトークンや認証情報のローテーションを実施してください。
■ 参考情報
- Bleeping Computer 報道およびServiceNow顧客サポート通知
対応優先度: 高
対応期限: 速やかに
お疲れさまです。ServiceNowのAPI脆弱性に関する情報共有です。
■ 概要
未認証のユーザーが特定のAPIエンドポイント(/api/now/related_list_edit/create)を悪用し、顧客インスタンスのデータテーブルを照会できる脆弱性が確認されました。一部の環境で実際にデータが照会された形跡が報告されています。
■ 影響範囲
- ServiceNow Australia版、または特定の設定変更を行った旧バージョン
■ 対応手順
1. ベンダーによる自動更新が適用されているか、最新の状態であるかを確認してください。
2. 以下のIOC(IPアドレス: 51.159.98.241)およびパス(/api/now/related_list_edit)への不審なアクセスログがないか確認してください。
3. 万が一、不審なアクセスが確認された場合は、関連するAPIトークンや認証情報のローテーションを実施してください。
■ 参考情報
- Bleeping Computer 報道およびServiceNow顧客サポート通知
対応優先度: 高
対応期限: 速やかに
Subject: [Security Alert] Potential Data Exposure via ServiceNow API Vulnerability
Dear IT/Security Team,
We are sharing information regarding a security vulnerability in ServiceNow.
■ Overview
An exploit has been identified where unauthenticated users could query customer instance data tables via a misconfigured API endpoint (/api/now/related_list_edit/create). Evidence of successful queries has been observed in some customer environments.
■ Scope
- ServiceNow Australia release or older versions with specific configuration changes.
■ Action Items
1. Verify that the latest security updates from ServiceNow have been applied to your instances.
2. Review logs for suspicious requests targeting the path '/api/now/related_list_edit' or originating from IP 51.159.98.241.
3. If suspicious activity is detected, immediately rotate all API tokens and credentials that may have been exposed.
■ Reference
- Bleeping Computer / ServiceNow Customer Support Announcement
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding a security vulnerability in ServiceNow.
■ Overview
An exploit has been identified where unauthenticated users could query customer instance data tables via a misconfigured API endpoint (/api/now/related_list_edit/create). Evidence of successful queries has been observed in some customer environments.
■ Scope
- ServiceNow Australia release or older versions with specific configuration changes.
■ Action Items
1. Verify that the latest security updates from ServiceNow have been applied to your instances.
2. Review logs for suspicious requests targeting the path '/api/now/related_list_edit' or originating from IP 51.159.98.241.
3. If suspicious activity is detected, immediately rotate all API tokens and credentials that may have been exposed.
■ Reference
- Bleeping Computer / ServiceNow Customer Support Announcement
Priority: High
Deadline: Immediate