Vulnerabilidad identificada en ServiceNow, ¿Están los datos en riesgo?

HIXSA

18 octubre, 2023

Recientemente ha sido identificada una vulnerabilidad relacionada con los la protección de datos de los usuarios y ha sido ligada a la plataforma de negocios digitales ServiceNow. Dicha vulnerabilidad podría haber comprometido a sus usuarios durante años, advierte un experto en ciberseguridad.

“Se ha identificado un posible problema de exposición de datos dentro de la capacidad integrada de ServiceNow. Esto podría permitir a usuarios no autenticados extraer datos de los registros”.

comenta Daniel Miessler , en una publicación en X, (antes Twitter)

De acuerdo con Miessler, investigador de tecnología y seguridad cibernética, los tipos de datos que han quedado expuestos incluyen nombres, direcciones de correo electrónico y documentos internos, y lastimosamente miles de empresas podrían ser afectadas.

Miessler considea que el eslabón débil de esta vulnerabilidad es una mala configuración en un componente o widget del sistema de ServiceNow llamado Lista Simple, que coloca registros en tablas que son fácilmente legibles.

Es más, el problema ha existido desde que se creó el componente Lista Simple en 2015. Hasta el momento, Miessler dice que no hay pruebas de que haya sido explotado por malos actores, aunque eso no significa necesariamente que no haya sido explotado.

“No ha habido evidencia de explotación en la naturaleza. Sin embargo, […] con este artículo es probable que lo ataquen mucho más”, añadió.

Para mitigar el problema, Miessler insta a las organizaciones a implementar restricciones de protocolo de Internet para el tráfico entrante, desactivar los widgets públicos o reforzar sus listas de control de acceso con un complemento.

Herramientas para contrarrestar los ciberataques

Los nuevos tipos de dispositivos conectados y plataformas de computación, desde la nube hasta la IoT, han explotado la superficie de ataque cibernético. La vieja forma de simplemente escanear dispositivos de TI locales para detectar vulnerabilidades ya no es suficiente. ¡Es hora de un nuevo enfoque!

Con la gestión de ciberseguridad , las organizaciones ahora pueden traducir los datos técnicos de los activos, las vulnerabilidades y las amenazas en información de negocios clara y procesable para los ejecutivos y los profesionales de seguridad. Agenda una llamada y comprueba cómo esta plataforma combina la cobertura de vulnerabilidades más amplia, que abarca activos de TI, recursos en la nube, contenedores, aplicaciones web y sistemas de identidades.

Guía del CIO para la evaluación de soluciones RPA

En esta guía para CIO’s compartimos las claves para evaluar soluciones de RPA para tu negocio.

Guía de AI Service Desk y Automatización

En este documento te compartimos un modelo probado de automatización de la mesa de servicio de TI, que ayuda a analizar desafíos, evaluar soluciones y elegir el mejor enfoque de automatización.

10 consejos de lectura obligada para seleccionar un sistema ECM

En este eBook te mostramos cómo un sistema ECM y la gestión inteligente de la información puede hacer tu negocio más competitivo

Business Case para la Gestión de Contenido Empresarial

En este eBook te compartimos como la afluencia de contenido muy diverso de una variedad de sistemas y repositorios apunta a la urgente necesidad de las empresas invertir en la gestión de contenidos para tomar control de su contenido.