Falha no ServiceNow explorada para acesso não autorizado a instâncias de clientes

A falha no ServiceNow, confirmada pela empresa em junho de 2026, envolveu um endpoint de API mal configurado — /api/now/related_list_edit/create — onde o parâmetro requires_authentication estava definido como false, permitindo consultas não autenticadas. Diferentemente de vulnerabilidades com CVE atribuído, este caso ainda não possui identificador oficial no NVD, mas foi corrigido globalmente em 5 de junho de 2026 nas instâncias hospedadas. O problema afetou clientes na versão 'Australia' e em configurações personalizadas de versões anteriores, com exploração ativa registrada entre 2 e 4 de junho — incluindo submissões ao programa de bug bounty a partir de 22 de abril e relatos públicos no Reddit alegando conhecimento interno desde 7 de abril.

O endereço IP 51.159.98.241 foi identificado como fonte de solicitações maliciosas, e a ServiceNow orientou clientes a revisarem logs específicos para requisições nesse endpoint. Embora a empresa tenha classificado as atividades observadas como provavelmente ligadas a pesquisadores éticos (sem exfiltração de dados), instâncias do ServiceNow armazenam dados críticos: tíquetes de TI, registros de funcionários, inventários de ativos, relatórios de incidentes de segurança e documentação interna — tornando mesmo consultas não autorizadas potencialmente impactantes para a conformidade com LGPD e ISO 27001.

Essa falha é crítica porque expõe uma falha estrutural em uma plataforma usada por mais de 80% das empresas da Fortune 500 para gerenciamento de serviços de TI e operações de segurança. A ausência de autenticação obrigatória em um endpoint de API chave viola princípios fundamentais de zero trust e pode ter permitido acesso indireto a dados sensíveis sem gatilho de alerta em sistemas tradicionais de detecção. Para profissionais de segurança da informação no Brasil, o caso reforça a urgência de auditorias contínuas em APIs customizadas, monitoramento de endpoints expostos e revisão rigorosa de configurações em ambientes ServiceNow — especialmente após atualizações de release como 'Australia', que introduziram novos módulos e alterações na camada de API.

Desenvolvedores e administradores de ServiceNow devem priorizar a verificação de todos os endpoints de API com requires_authentication = false em suas instâncias, mesmo em versões anteriores à 'Australia'. A correção aplicada pela ServiceNow em 5 de junho não é retroativa para instâncias auto-hospedadas ou em ambientes privados — exigindo intervenção manual via atualização de scripts de configuração ou ACLs. Ferramentas como o ServiceNow Security Operations Workspace e integrações com SIEMs devem ser ajustadas para detectar padrões de requisições anômalas no caminho /api/now/related_list_edit/create. Além disso, equipes de DevSecOps precisam incluir validação de autenticação obrigatória como critério de aprovação em pipelines de deploy de customizações — evitando que falhas semelhantes sejam replicadas em ambientes de produção.