L’entreprise ServiceNow alerte sur un incident de sécurité. Des attaquants ont exploité une faille d’accès sans authentification via un point de terminaison d’API vulnérable, ce qui leur a permis d’interroger des données provenant d’instances clients.
La société a informé discrètement les clients concernés par le biais d’un bulletin de support et de dossiers d’assistance directs. Cette action a suivi la détection d’une activité anormale liée au problème.
Le bulletin, qui est accessible uniquement via le portail client de ServiceNow, indique que l’entreprise a appliqué une mise à jour de sécurité aux instances hébergées pour les clients le 5 juin 2026.
La mise à jour portait sur un problème de sécurité. Ce dernier pouvait permettre à un utilisateur non authentifié, dans certaines conditions, d’obtenir un accès plus étendu aux instances ServiceNow que prévu.
ServiceNow explique que cette mise à jour modifie la configuration du point de terminaison d’API. L’objectif est de limiter l’accès aux seuls utilisateurs authentifiés.
La société a aussi confirmé que les attaquants ont exploité cette faille. Ils ont ainsi pu interroger avec succès les tables des instances clients.
ServiceNow n’a pas précisé quelles données ont été consultées pendant les attaques. Les instances stockent généralement des informations sensibles d’entreprise. Cela inclut les tickets de support informatique, les dossiers des employés, la documentation interne, les inventaires d’actifs, les rapports d’incidents de sécurité, les données de flux de travail et les détails de configuration des systèmes et services d’entreprise.
Les informations des dossiers de support sont devenues une cible de plus en plus prisée par les acteurs de la menace. Les tickets peuvent contenir des identifiants, des jetons d’API, de la documentation interne et des secrets d’authentification qui sont partagés pendant le dépannage.
D’après l’avis, ServiceNow a maintenant ouvert des dossiers de support avec les clients affectés. Si un client n’en a pas reçu, il ne serait pas touché par l’incident.
ServiceNow n’a pas rendu publics les détails techniques de la faille. Cependant, des administrateurs qui évoquent l’incident sur Reddit affirment que le problème semble lié à un point de terminaison REST situé à ‘/api/now/related_list_edit/create’.
Un commentateur a déclaré que ce point de terminaison était configuré avec ‘requires_authentication=false’. Cette configuration pouvait potentiellement autoriser des requêtes non authentifiées à accéder aux données de l’instance. La mise à jour de sécurité déployée vendredi aurait servi à définir requires_authentication sur true.
De nombreux administrateurs ont partagé des indicateurs de compromission. On retrouve notamment des requêtes API provenant de l’adresse IP ‘51.159.98.241’. Ils conseillent aux autres administrateurs d’examiner les journaux pour détecter les requêtes adressées au point de terminaison vulnérable.
Le bulletin précise que le problème touche principalement les clients qui utilisent la version de plateforme Australie, ou les clients sur des versions antérieures qui ont effectué certains changements de configuration.
ServiceNow affirme qu’elle évalue toujours la possibilité de publier un CVE pour ce problème.
Les administrateurs sont invités à consulter les journaux ServiceNow pour les requêtes vers /api/now/related_list_edit, en particulier celles provenant de l’adresse IP 51.159.98.241.
Les organisations impactées doivent examiner les tickets et enregistrements exposés à la recherche d’informations sensibles. Elles doivent aussi renouveler les identifiants ou jetons partagés via les flux de travail de support, et s’assurer que la journalisation des API est activée.