A ServiceNow confirmou na segunda-feira (9) um incidente de segurança em que invasores exploraram uma falha de acesso não autenticado em um endpoint de API para consultar dados de instâncias de clientes. O patch foi aplicado em 5 de junho após detecção de atividade anômala. Clientes que não receberam um caso de suporte específico não foram afetados, segundo a empresa.
Como o ataque funcionou
A falha residia no endpoint REST /api/now/related_list_edit/create, que estava configurado com o parâmetro requires_authentication=false, permitindo que qualquer pessoa fizesse requisições sem credenciais. Com isso, atacantes consultaram tabelas internas das instâncias dos clientes. A correção alterou o parâmetro para true, restringindo o acesso a usuários autenticados. Relatos de administradores no Reddit indicam que requisições maliciosas partiram do endereço IP 51.159.98.241.
Quais dados foram expostos
A ServiceNow não divulgou publicamente quais dados foram acessados, mas instâncias da plataforma costumam armazenar informações sensíveis: tickets de suporte com credenciais e tokens compartilhados durante troubleshooting, registros de funcionários, documentação interna, inventários de ativos e relatórios de incidentes de segurança. O boletim interno indica que o problema afeta clientes na release “Australia” ou em versões anteriores com determinadas alterações de configuração.
Riscos para organizações
Tickets de suporte transformaram-se em alvo recorrente para invasores, pois frequentemente contêm segredos compartilhados durante a resolução de problemas: chaves de API, strings de conexão de banco de dados e credenciais temporárias. O acesso não autenticado a essas informações pode abrir caminho para movimentação lateral dentro da infraestrutura corporativa, semelhante ao que ocorreu no vazamento do mensageiro Tchap. A ServiceNow abriu casos de suporte individuais com cada cliente afetado, mas não respondeu à BleepingComputer sobre a duração da exposição antes da detecção.
O que verificar agora
Administradores devem examinar logs de acesso das instâncias buscando requisições ao endpoint /api/now/related_list_edit/create provenientes de IPs não identificados, com foco no endereço 51.159.98.241 indicado como indicador de comprometimento. Verificar se a instância já está na release com a correção aplicada. Rotacionar credenciais e tokens que possam ter sido incluídos em tickets de suporte. Para ambientes self-hosted, confirmar que o parâmetro de autenticação do endpoint está ativo, uma prática essencial na proteção contra acessos não autorizados, conforme discutido em análise sobre por que detecções demoram 277 dias. A plataforma é um alvo crescente e vulnerabilidades em APIs de assistentes de IA foram documentadas anteriormente pela AppOmni.
| Data | Evento |
|---|---|
| 5 de junho de 2026 | ServiceNow aplica correção em instâncias hospedadas |
| 9 de junho de 2026 | BleepingComputer publica relato do incidente |
| Em investigação | ServiceNow avalia publicação de CVE oficial |