Un recente incidente di sicurezza ha scosso il settore della tecnologia aziendale, coinvolgendo ServiceNow, piattaforma leader nei servizi digitali per le imprese. Un bug critico nel suo sistema ha infatti permesso l'accesso non autenticato ai dati dei clienti, esponendo informazioni sensibili su Internet.
La vulnerabilità di ServiceNow
La vulnerabilità è stata risolta il 5 giugno 2026, data in cui ServiceNow ha applicato un aggiornamento di sicurezza alle istanze interessate. Prima di tale intervento, il bug aveva consentito a utenti non autenticati di accedere e ottenere dati riservati dalle istanze ospitate dalla piattaforma.
Sebbene il problema fosse prevalentemente legato alla release australiana del sistema, sono stati registrati accessi anomali anche in altre aree geografiche, con un indirizzo IP condiviso (51.159.98.241) indicato come potenziale vettore di compromissione.
Dettagli tecnici della falla
La falla di sicurezza è stata individuata in un endpoint API vulnerabile che permetteva l'accesso ai dati senza autenticazione. La problematica è emersa dopo che ServiceNow ha rilevato attività anomale, comunicando la situazione attraverso un bollettino di supporto. L'endpoint specifico, “/api/now/related_list_edit/create”, era configurato per non richiedere autenticazione, permettendo agli intrusi di interrogare le tabelle delle istanze dei clienti.
Le aziende sono state allertate a verificare i propri log per richieste provenienti dall'indirizzo IP 51.159.98.241, considerato un indicatore di compromissione.
Rischi per le organizzazioni
Nonostante ServiceNow non abbia specificato quali dati siano stati effettivamente consultati, le istanze della piattaforma spesso contengono informazioni aziendali sensibili. Tra queste figurano ticket di supporto IT, registri dei dipendenti, documentazione interna, inventari degli asset e dettagli di configurazione di sistemi e servizi aziendali. Tali dati rappresentano un obiettivo di alto valore per i criminali informatici. Le organizzazioni clienti sono state invitate a esaminare i log di accesso alle API, verificare l'eventuale esposizione di documenti sensibili e procedere alla rotazione di credenziali o token utilizzati nei flussi di lavoro di supporto.
Misure di sicurezza e prevenzione
In risposta all'incidente, ServiceNow ha implementato un aggiornamento di sicurezza che ora impone l'autenticazione per l'accesso all'endpoint precedentemente vulnerabile. L'azienda sta inoltre valutando la possibilità di pubblicare un identificatore CVE (Common Vulnerabilities and Exposures) per la problematica riscontrata. Questo episodio evidenzia l'importanza cruciale di una gestione rigorosa delle configurazioni e di controlli di sicurezza costanti. È fondamentale che le organizzazioni mantengano i log delle API sempre attivi e monitorino proattivamente ogni tentativo di accesso non autorizzato. L'incidente di ServiceNow rappresenta un monito per l'intero settore tecnologico: un approccio proattivo alla sicurezza è indispensabile per proteggere i dati sensibili e contrastare attacchi informatici sempre più sofisticati.
