ServiceNow olarak bilinen dijital iş platformunda bir güvenlik açığı tespit edildi ve bu durum, platformun kullanıcıları için önemli bir risk oluşturuyor. ServiceNow, kuruluşlar içindeki çeşitli iş süreçlerini kolaylaştırmak ve otomatikleştirmek için tasarlanmış bulut tabanlı bir sistemdir. Hizmetle ilgili prosedürlerin, olay yönetiminin, sistem değişikliklerinin ve diğer BT hizmetlerinin geliştirilmesi ve optimize edilmesinde değerli yardım sunar. Ayrıca insan kaynakları, müşteri hizmetleri ve güvenlik dahil olmak üzere farklı departmanlardaki görevlerin otomatikleştirilmesine yönelik araçlar sağlar.
Son gelişmelerde, ServiceNow’un yerleşik yeteneklerinde potansiyel bir veri açığa çıkma sorununun tespit edildiği dikkatimizi çekti. Bu sorun potansiyel olarak yetkisiz kullanıcıların platformda depolanan kayıtlardan hassas verileri almasına olanak tanıyabilir. Daniel Miessler, X platformunda yayınlanan bir açıklamada bu güvenlik endişesine ilişkin alarmı dile getirdi. Miessler’in kaynaklarına göre ele geçirilen veriler; isimler, e-posta adresleri ve hatta dahili belgeler gibi kişisel bilgileri içerebilir. Bu potansiyel ihlalin ölçeği çok büyük ve potansiyel olarak binlerce şirket etkileniyor.
Miessler’e göre bu güvenlik açığının kökü, ‘Basit Liste’ adı verilen belirli bir ServiceNow bileşeni veya widget’ındaki hatalı yapılandırmada yatmaktadır. Bu widget, kayıtları kolayca okunabilir bir tablo formatında sunmak için kullanılır. Şaşırtıcı bir şekilde, bu güvenlik açığı ‘Basit Liste’ bileşeninin 2015 yılındaki başlangıcından bu yana mevcut. Şu an itibariyle, kötü niyetli aktörlerin bu güvenlik açığından yararlandığını gösteren somut bir kanıt yok. Ancak bu kanıt eksikliği, özellikle de uzun geçmişi göz önüne alındığında, güvenlik açığından yararlanılmadığı anlamına gelmiyor.
Miessler bu soruna bir an önce çözüm bulunmasının aciliyetinin altını çiziyor. Kuruluşların güvenlik duruşlarını geliştirmek için acil adımlar atmalarını tavsiye ediyor. Başlıca önerilerinden biri, gelen trafiğe yönelik internet protokolü kısıtlamalarının uygulanmasıdır. Kuruluşlar bunu yaparak potansiyel tehdit aktörlerinin erişimini sınırlayabilir. Ek olarak Miessler, saldırı yüzeyini azaltmak için genel widget’ların devre dışı bırakılmasını ve bir eklenti kullanarak erişim kontrol listelerinin geliştirilmesini tavsiye ediyor.
Bu durumun ciddiyeti, Miessler’in siber güvenlik araştırmacısı meslektaşı Aaron Costello tarafından hazırlanan daha kapsamlı bir rapora atıfta bulunmasıyla daha da vurgulanıyor. Costello’nun raporu muhtemelen bu güvenlik açığının doğasına ve etkilenen kuruluşlar için potansiyel sonuçlara ilişkin daha derin bilgiler sağlıyor.
Makalenin teknik yönlerini daha derinlemesine inceleyelim ve bunları daha ayrıntılı bir şekilde açıklayalım:
1. ServiceNow’daki Widget’lar:
- ServiceNow’daki widget’lar, özellikle ‘Basit Liste’ widget’ı bu tartışmanın merkezinde yer alıyor. Widget’lar, Hizmet Portalı için API’ler gibi davranır ve JavaScript (JS) ile yazılmış açık kaynaklı bileşenlerdir.
- Widget’ların, geleneksel Erişim Kontrol Listeleri (ACL’ler) tarafından sıkı bir şekilde yönetilmeyen kendi erişim kontrol mekanizmaları vardır. Bunun yerine erişimleri, her widget kaydındaki belirli alanlarla belirlenir.
2. ‘Basit Liste’ Widget’ı:
- ‘Basit Liste’ widget’ı, girdi olarak bir tablo ve alan verildiğinde okunabilir kayıt verilerini döndürmek için tasarlanmıştır.
- Potansiyel olarak verileri ifşa edebilecek halka açık bir uç noktaya sahiptir ve bu husus iyi belgelenmemiş gibi görünmektedir ve bu da güvenlik endişelerini artırmaktadır.
3. Widget’lardaki Sunucu Komut Dosyası:
- Widget içindeki Sunucu Komut Dosyası çok önemli bir kısımdır. Doğrudan istek parametreleriyle etkileşime girerek sorgu yapılmasına olanak tanır.
- Komut dosyasındaki belirli satırlar, örneğin
options.table = $sp.getParameter('t') || options.table;veri çıkarmak için değiştirilebilen HTTP isteklerinden parametrelerin nasıl alındığını gösterir.
4. Erişim Kontrolü ve İzinler:
- Komut dosyası, bir kullanıcının oturum açıp açmadığını ve erişilen verilerin açıkça herkese açık olarak işaretlenip işaretlenmediğini kontrol etmek için koşullar içerir.
- Örneğin, gibi satırlar
if (!gs.getSession().isLoggedIn() && !new SNCACLUtil().hasPublicAccess(options.table))komut dosyasında verilere erişimi kısıtlayan koşulları gösterir.
5. Test için Yüklerin Hazırlanması:
- Yazar, güvenlik açığını test etmek için yüklerin nasıl oluşturulacağını açıklıyor. Başarılı isteklerde bulunmak için Cookie ve X-UserToken gibi belirli başlıkların doldurulması gerekir.
- İstek için kullanılan yöntem POST olmalıdır ve anlamlı yanıtlar alabilmek için belirli parametrelerin doğru şekilde ayarlanması gerekir.
Bu güvenlik açığına yanıt olarak kuruluşların ServiceNow örneklerinin güvenliğini sağlamak ve hassas verileri korumak için kapsamlı bir yaklaşım benimsemesi zorunludur. Aşağıda, güvenlik açığının potansiyel etkilerini, ServiceNow’un güvenliğine yönelik en iyi uygulamaları ve dijital çağda veri güvenliğine yönelik daha geniş etkileri inceleyerek bu durumu daha ayrıntılı olarak inceleyeceğiz.
ServiceNow’un Önemi
ServiceNow, birçok kuruluşun operasyonlarının ayrılmaz bir parçası haline gelen dijital bir iş platformudur. Çeşitli iş süreçlerinde üretkenliği ve verimliliği artırmak için geniş bir yetenek yelpazesi sunan bulut tabanlı bir çözümdür. Bu platform, görevleri otomatikleştirme, iş akışlarını kolaylaştırma ve bilgileri merkezileştirme yeteneği nedeniyle büyük bir popülerlik kazandı.
ServiceNow’un en önemli güçlü yönlerinden biri, birden fazla iş fonksiyonuna uyarlanabilirliğidir. BT hizmet yönetimiyle sınırlı değildir; faydasını insan kaynaklarına, müşteri hizmetlerine ve güvenliğe kadar genişletir. Bu çeşitli departmanları tek bir platform altında birleştirme yeteneği, kurumsal işbirliğini ve veri erişilebilirliğini önemli ölçüde artırdı. Ancak bu çok yönlülük aynı zamanda potansiyel güvenlik açıklarını da beraberinde getirir; çünkü bir departmandaki bir ihlal, hassas verilerin tüm kuruluş genelinde açığa çıkmasına neden olabilir.
Odaktaki Güvenlik Açığı
Söz konusu güvenlik açığı, ServiceNow içindeki ‘Basit Liste’ olarak bilinen bir bileşenle ilgilidir. Bu görünüşte zararsız widget, kayıtları okunması kolay bir tablo biçiminde görüntüleme amacına hizmet eder. Ancak kullanıcı dostu görünümünün altında, 2015’teki tanıtımından bu yana gizlenen önemli bir güvenlik açığı yatıyor.
Sorunun özü ‘Basit Liste’ bileşenindeki hatalı yapılandırma gibi görünüyor. Bu yanlış yapılandırma, yetkisiz kullanıcıların sistem içindeki kayıtlara erişmesine ve bu kayıtlardan veri çıkarmasına olanak tanıyabilir. ServiceNow’da depolanan verilerin potansiyel hassasiyeti göz önüne alındığında, bu güvenlik açığı kuruluşlar için önemli bir risk oluşturmaktadır.
Güvenliği ihlal edilebilecek veriler arasında isimler, e-posta adresleri ve hatta dahili belgeler yer alır. Bu tür bilgiler kötü niyetli aktörler için son derece değerlidir ve kimlik hırsızlığı, kimlik avı saldırıları veya kurumsal casusluk gibi çeşitli kötü amaçlarla kullanılabilir. Ek olarak, binlerce şirketi etkileyen, potansiyel olarak risk altındaki veri hacmi, bu güvenlik endişesinin giderilmesinin aciliyetinin altını çiziyor.
Bu güvenlik açığını özellikle endişe verici kılan şey, tarihsel bağlamıdır. Daha önce de belirtildiği gibi ‘Basit Liste’ bileşeni 2015 yılında kullanıma sunuldu ve güvenlik açığı o zamandan beri mevcut. Şu anda istismara dair bir kanıt bulunmamakla birlikte, güvenlik açığının bu kadar uzun bir süredir mevcut olması, bunun geçmişte kuruluşlar farkına bile varmadan istismar edilip edilmediği sorusunu gündeme getiriyor.
Siber tehditlerin sürekli olarak geliştiğini ve saldırganların daha karmaşık hale geldiğini anlamak çok önemlidir. Yıllarca fark edilmeyen bir güvenlik açığı, kötü niyetli aktörler tarafından keşfedildiğinde birdenbire birincil hedef haline gelebilir. Bu nedenle, istismara ilişkin somut kanıtların bulunmaması rehavete neden olmamalıdır. Bunun yerine, proaktif güvenlik önlemlerinin öneminin açık bir hatırlatıcısı olarak hizmet etmelidir.
Azaltma ve Önleme
Bu güvenlik açığının ışığında, kuruluşların riski azaltmak ve olası veri ihlallerini önlemek için derhal harekete geçmesi çok önemlidir. Daniel Miessler, açıklamasında birkaç önemli tavsiyede bulunuyor:
- İnternet Protokolü Kısıtlamalarını Uygulayın: Erişimi internet protokolü (IP) adreslerine göre kısıtlayarak kuruluşlar, ServiceNow örneklerinin bilinen ve güvenilen kaynaklara maruz kalmasını sınırlayabilir. Bu, bilinmeyen veya potansiyel olarak kötü amaçlı IP adreslerinden gelen yetkisiz erişimin önlenmesine yardımcı olabilir.
- Herkese Açık Widget’ları Devre Dışı Bırak: ServiceNow içindeki genel widget’ların devre dışı bırakılması saldırı yüzeyini azaltabilir. Herkese açık olan widget’lar saldırganlar için giriş noktaları sağlayabilir. Kuruluşlar bunları devre dışı bırakarak potansiyel saldırı yollarını sınırlayabilir.
- Erişim Kontrol Listelerini (ACL’ler) Geliştirin: Erişim kontrol listeleri, izinleri yönetmek ve belirli kaynaklara kimlerin erişebileceğini tanımlamak için kullanılır. Kuruluşlar, eklentilerin veya ek güvenlik yapılandırmalarının kullanımıyla bu ACL’leri güçlendirerek verilerini daha iyi kontrol edebilir ve güvence altına alabilir.
Bu önerilerin riski azaltmaya yardımcı olsa da güvenliği garanti etmediğini unutmamak önemlidir. Kuruluşlar ayrıca ServiceNow örneklerini ve içerdiği verileri korumak için daha geniş bir güvenlik uygulamaları ve önlemleri kümesini de dikkate almalıdır.
ServiceNow güvenlik açığı, dijital çağda veri güvenliğiyle ilgili daha geniş zorlukların ve risklerin küçük bir örneği olarak hizmet ediyor. Kuruluşlar operasyonlarını kolaylaştırmak için bulut tabanlı platformlara ve dijital çözümlere giderek daha fazla güvendikçe, çok çeşitli siber tehditlere karşı da daha savunmasız hale geliyorlar.
Yüksek profilli olayların düzenli olarak manşetlere çıkmasıyla veri ihlalleri yaygın bir olay haline geldi. Bu tür ihlallerin sonuçları ciddi olabilir; mali kayıplar, itibar kaybı ve yasal yükümlülükler olabilir. Üstelik risk altındaki veriler isimler ve e-posta adresleriyle sınırlı değil; fikri mülkiyeti, mali kayıtları ve diğer özel bilgileri içerebilir.
ServiceNow güvenlik açığı, kuruluşların veri güvenliğine yönelik proaktif ve kapsamlı bir yaklaşım benimsemesi ihtiyacını vurguluyor. Bu yaklaşım yalnızca güvenlik önlemlerinin uygulanmasını değil aynı zamanda sürekli izlemeyi, tehdit tespitini ve olay müdahale planlamasını da kapsamalıdır.
Bilgi güvenliği uzmanı, şu anda risk altyapısı uzmanı ve araştırmacısı olarak çalışmaktadır.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.