Skip to content
Cyber Breaches
Recherche
Exploitation de vulnérabilitéContenu

ServiceNow révèle une faille d'API sans authentification ayant permis d'interroger les données d'instances clientes

ServiceNow a révélé qu'un point de terminaison REST mal configuré et accessible sans authentification permettait d'interroger les données d'instances clientes hébergées, un problème corrigé le 5 juin mais dont l'avis (réservé aux clients connectés) n'a été publié que plusieurs jours plus tard.

Victime
ServiceNow
SecteurTechnologie
PaysÉtats-Unis

Le 9 juin 2026, ServiceNow — l'éditeur de logiciels d'entreprise de Santa Clara dont la plateforme de gestion de flux soutient les opérations informatiques, RH et de service client de milliers de grandes organisations — a révélé un incident de sécurité au cours duquel des acteurs avaient exploité un point de terminaison REST accessible sans authentification pour interroger les données d'instances clientes hébergées. L'entreprise a appliqué un correctif le 5 juin, mais n'a publié son avis, KB3067321, que plusieurs jours plus tard, ce bulletin étant en outre réservé aux clients connectés au portail de support.

Ce qui s'est passé

Les rapports attribuent le problème à une ressource REST scriptée accessible à l'adresse /api/now/related_list_edit/create, déployée avec son exigence d'authentification désactivée (requires_authentication=false). Cette mauvaise configuration permettait à une requête sans identifiants d'interroger les tables d'instances clientes — atteignant potentiellement des données détenues par plusieurs locataires. L'activité observée contre les instances clientes remonterait à environ les 2-3 juin 2026, avant que ServiceNow ne diffuse sa mise à jour de sécurité aux instances hébergées le 5 juin.

ServiceNow a déclaré estimer que l'activité observée était vraisemblablement liée à des chercheurs en sécurité ou à des recherches menées par des clients dans le cadre de signalements de bug bounty, plutôt qu'à des acteurs malveillants. L'entreprise avait reçu un signalement confidentiel de bug bounty décrivant un problème similaire le 22 avril 2026 — soit environ six semaines avant l'application du correctif.

Impact

  • Un point de terminaison d'API sans authentification pouvant servir à interroger les données d'instances clientes hébergées, l'exposition entre locataires étant présentée comme le risque central.
  • ServiceNow a corrigé les instances hébergées le 5 juin 2026 et qualifie l'activité de probablement liée à de la recherche plutôt que d'exploitation malveillante confirmée.
  • L'avis (KB3067321) est réservé aux utilisateurs connectés au portail de support, ce que plusieurs médias ont relevé comme ayant ralenti l'information des clients sur la faille exploitée.

Pourquoi c'est important

ServiceNow se situe au cœur de l'automatisation administrative des gouvernements et des grandes entreprises ; un accès sans authentification aux données d'instances constitue donc une cible de grande valeur, quel que soit celui qui l'a emprunté en premier. L'épisode rappelle deux défaillances récurrentes de la sécurité SaaS : un seul indicateur d'authentification mal réglé sur une ressource REST peut anéantir l'isolation entre locataires de la plateforme, et les avis réservés aux clients connectés ralentissent précisément ceux qui ont le plus besoin d'évaluer leur exposition. Même lorsqu'un éditeur juge l'activité probablement bénigne, le délai entre le signalement initial du bug bounty et le correctif — environ six semaines — est l'intervalle qui compte pour les défenseurs.

Chronologie

  1. ServiceNow reçoit un signalement confidentiel de bug bounty décrivant un problème similaire d'accès sans authentification.

  2. Une activité d'interrogation des instances clientes via le point de terminaison vulnérable débute, selon les rapports (vers les 2-3 juin).

  3. ServiceNow applique une mise à jour de sécurité aux instances clientes hébergées.

  4. ServiceNow publie l'avis KB3067321 au sujet de l'incident ; le bulletin nécessite une connexion au portail de support client pour être consulté.

Sources

  1. bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/servicenow-discloses-security-incident-exposing-customer-data/
  2. techtimes.comhttps://www.techtimes.com/articles/318166/20260610/servicenow-data-breach-gated-advisory-left-customers-unaware-exploited-zero-auth-api.htm
  3. socradar.iohttps://socradar.io/blog/servicenow-breach-customer-api-access/
  4. triskelelabs.comhttps://www.triskelelabs.com/resources/servicenow-security-incident-unauthenticated-api-access-exposing-customer-data
  5. rescana.comhttps://www.rescana.com/post/servicenow-api-security-incident-exposes-customer-data-analysis-of-unauthenticated-access-vulnerability-june-2026

Incidents liés

Chaîne d’approvisionnementEn cours

L'attaque sur la chaîne d'approvisionnement « Atomic Arch » détourne plus de 400 paquets AUR d'Arch Linux pour déployer un voleur d'identifiants et un rootkit eBPF

Les chercheurs de Sonatype ont mis au jour « Atomic Arch », une campagne sur la chaîne d'approvisionnement dans laquelle des attaquants ont adopté des centaines de paquets orphelins de l'Arch User Repository et réécrit leurs scripts de compilation pour installer un paquet npm malveillant déposant un voleur d'identifiants Linux doté de capacités optionnelles de rootkit eBPF.

Victim
Arch User Repository (AUR)