Giriş
ServiceNow, saldırganların kimlik doğrulaması gerektirmeyen bir erişim açığından faydalanarak müşteri verilerini sorgulama yetkisi elde ettiğini duyurdu. Bu tür güvenlik ihlalleri, kurumsal bilgilerin güvenliği açısından büyük riskler taşımaktadır.
Saldırı Nasıl Çalışıyor?
ServiceNow, saldırının bazı müşteri örneklerinde “anomalous activity” tespit ettikten sonra bir destek bildirimi yayınladı. Bu bildirimde, 5 Haziran 2026 tarihinde bir güvenlik güncellemesi uygulandığı belirtiliyor. Güncelleme, kimlik doğrulamadan muaf kullanıcıların belli koşullarda daha fazla erişime sahip olmasına yol açan bir güvenlik sorununu hedef alıyordu.
System, REST endpoint’i /api/now/related_list_edit/create üzerinden suistimale açık durumda bulunuyordu. İlgili endpoint’in kodunda, requires_authentication=false ayarı, kimlik doğrulaması gerektirmeyen isteklerin sistem verilerine erişmesine olanak tanıyordu. Güncelleme ile birlikte bu ayar requires_authentication=true olarak değiştirildi.
Etkilenen Sistemler
Güvenlik sorununun etkilediği kullanıcılar arasında, Australia platform sürümü üzerinde çalışan veya eski sürümler üzerinde belirli yapılandırma değişiklikleri yapanlar bulunuyor. İlgili sistemlerde aşağıdaki türde bilgiler sıklıkla saklanmaktadır:
- IT destek biletleri
- Çalışan kayıtları
- İç dokümantasyon
- Varlık envanterleri
- Güvenlik olay raporları
- İş akış verileri
- Kurumsal sistemler ve hizmetler için yapılandırma detayları
Saldırganların destek biletlerini hedef alması, bu biletlere kullanıcı bilgileri, API anahtarları ve çözüm süreçleri sırasında paylaşılan kimlik bilgileri gibi hassas verilerin dahil olmasından kaynaklanabilir.
Çözüm ve Korunma
ServiceNow, etkilenen müşterilere destek vakaları açarak durum hakkında bilgilendirme yapmış durumda. Ancak hala teknik detaylar açıklanmadı. Çözüm önerileri arasında:
- ServiceNow günlüğünüzü
/api/now/related_list_editüzerinden gelen isteklere yönelik inceleyin, özellikle 51.159.98.241 IP adresinden gelen istekleri kontrol edin. - Maruz kalan belgeleri gözden geçirin ve hassas bilgiler varsa gerekli önlemleri alın.
- Destek iş akışlarında paylaşılan kimlik bilgileri veya anahtarları döndürün.
- API günlüklemesini etkinleştirin.
Sonuç
Etkilenen kuruluşların, bu güvenlik sorununun etkisini minimize etmek adına sistemlerini derhal güncellemeleri, portları kapatmaları ve yukarıda belirtilen önerileri takip etmeleri kritiktir. Cyber saldırılara karşı sürekli bir tetikte olma durumu, günümüz teknolojisinde kritik bir gereklilik haline gelmektedir.
