ServiceNow, platformunun güvenliğini etkileyebilecek potansiyel bir yanlış yapılandırma endişesi konusunda uyarıldı. Şirket, sorunu aktif olarak ele alıyor ve bir çözüm bulmaya çalışıyor.
Sorun, platformdaki tablolara ve sütunlara erişimi kontrol etmek için kullanılan Erişim Kontrol Listelerini (ACL’ler) içeriyor.
Bir ACL boşsa veya herhangi bir rol, koşul veya komut dosyası içermiyorsa konuklar da dahil olmak üzere yetkisiz kullanıcıların bazı kaynaklara erişmesine izin verebilir.
ServiceNow, kimliği doğrulanmamış kullanıcıların platforma sınırlı erişime sahip olduğunu ve yalnızca bazı yetkili sayfalara erişebildiğini tespit etti.
Ancak SimpleListWidget gibi bazı genel portal widget’ları sistemdeki verileri sorgulayabilir. ServiceNow, müşterilere ACL’lerini kontrol etmek ve düzeltmek için şu adımları izlemelerini önerir:
ACL Yapılandırmalarını Kontrol Edin
Müşteriler herhangi bir rolü, koşulu veya komut dosyası olmayan ACL’leri bulmalıdır.
Kimliği doğrulanmamış kullanıcıların bu tablolara erişmesini istemiyorlarsa, ACL’lerin komut dosyası bölümüne `gs.isLoggedIn()` ifadesini eklemelidirler. Bu, kimliği doğrulanmamış kullanıcıların bu tablolara genel portal widget’ları aracılığıyla erişmesini önleyecektir.
Genel Güvenlik Önlemleri
ServiceNow, iş ve güvenlik gereksinimlerine uyduklarından emin olmak için tüm ACL’lerin, özellikle de boş olanların veya “Genel” rolüne sahip olanların kapsamlı bir şekilde incelenmesini önerir.
Müşteriler ayrıca genel widget’larını incelemeli ve ihtiyaç duymuyorlarsa “Genel” işaretini devre dışı bırakmalıdır.
Müşteriler, örneklerine erişimi yalnızca güvenilen IP adresleriyle kısıtlamak için IP Adresi Erişim Denetimi’ni kullanmalıdır. Alternatif olarak, daha ayrıntılı kimlik doğrulama kontrolü uygulamak için Uyarlanabilir Kimlik Doğrulama politikalarını kullanabilirler; mobil erişime izin verir ancak erişimi belirli IP aralıkları ve alt ağlara sınırlandırırlar.
Açık Roller Eklentisi
Açık Roller eklentisini kullanan örnekler bu sorundan etkilenmez. ServiceNow, bu eklentiyi kullanan müşterilere “genel” rolü olan ACL’lerini kontrol etmelerini ve Kullanıcı Ölçütleri yapılandırmalarını gözden geçirmelerini önerir.
ServiceNow, proaktif güvenlik önlemleri almanın önemini vurguluyor ve müşterileri, bulut sunucularını korumak için bu adımları izlemeye teşvik ediyor.
Kullanıcı Kriterlerini değerlendirmeye yönelik yönergeler KB1123580 adresinde bulunabilir.
ServiceNow sorunu araştırmaya devam edecek ve gerektiğinde güncellemeler ve rehberlik sağlayacaktır. Bu konu hakkında daha fazla bilgi için bizi takip etmeye devam edin.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Bir dene ücretsiz deneme % 100 güvenlik sağlamak için.