Exploitation d’une faille critique dans les instances ServiceNow

ServiceNow a récemment confirmé qu’une vulnérabilité de sécurité a été exploitée par des acteurs malveillants pour obtenir un accès non autorisé aux données de certaines instances client. L’incident a permis à des utilisateurs non authentifiés d’exécuter des requêtes sur des tables sensibles.

Points clés :

• Détection : ServiceNow a identifié des activités anormales début juin 2026, confirmant que plusieurs instances ont fait l’objet de requêtes réussies.
• Historique : Bien que la faille ait été signalée via le programme de bug bounty dès avril 2026, elle a été traitée comme non urgente avant d’être exploitée activement.
• Périmètre : Le problème concernait spécifiquement les clients utilisant la version « Australia » ou ceux ayant effectué des configurations spécifiques sur des versions antérieures.

Vulnérabilités :

• CVE : Aucune identification CVE n’a été attribuée à cette vulnérabilité.
• Nature du problème : Une faille dans la configuration des points de terminaison (endpoints) permettait à des attaquants non authentifiés de contourner les restrictions d’accès et d’extraire des données des tables de l’instance.

Recommandations :

• Mise à jour : ServiceNow a déployé un correctif le 5 juin 2026 limitant l’accès aux points de terminaison concernés aux seuls utilisateurs authentifiés. Les administrateurs doivent s’assurer que leurs instances sont à jour avec les derniers correctifs de sécurité.
• Audit : Les clients impactés ont été notifiés individuellement par l’éditeur. Il est recommandé de consulter les journaux d’accès (logs) de son instance pour identifier toute requête suspecte effectuée entre le 2 et le 5 juin 2026.
• Veille : Surveiller les communications officielles sur le portail de support et de confiance (Trust) de ServiceNow pour toute directive supplémentaire liée à cette faille.

Source