Buenas tardes Comunidad,

Lo primero que debo decir, es que esto me llegó por un compañero de la comunidad y me ayudó (me ahorró) unas cuantas horas de entenderlo, investigarlo, verificarlo y solucionarlo. No quiere salir en los créditos, él sabe quien es y vaya mi agradecimiento para él. Este es el espiritú que queremos tener en nuestra comunidad, ayudarnos y que mejor ejemplo que este.

Vamos al caso (intentaré ponerlo en orden)

1. Nos enteramos de este potencial problema explicado en este KB: https://support.servicenow.com/kb?id=kb%5Farticle%5Fview&sysparm%5Farticle=KB1553688
2. Una primer lectura te hace pensar en que tienes algún problema con las ACLs (al menos yo lo interpreté inicialmente así)
3. Con la ayuda de nuestro héroe anónimo, quien también me avisó, y como llevaba más horas pegándose con esto, la conclusión es que el origen del problema es el widget Simple List que se usa en el Service Portal que está definido como "Public" y que no fuerza tener ningún "rol" para acceder a él, es decir, puedes usarlo sin hacer loggin sin restricciones
4. Esto abre la puerta a que algún listo pueda explotar esto y obtener algunos datos de tablas
5. El problema está explicado aquí: https://www.enumerated.ie/index/servicenow-data-exposure
6. Existe una herramienta en Python para ver si eres vulnerable aqui: https://github.com/bsysop/servicenow
7. Ejecutando el código python (es muy simple, basta que pongas las URL de la instancia que quieras verificar) te devolveré si eres vulnerable y que tablas están expuestas, que campo
8. Luego, el fix (hay varios) pero el más immediato es hacer el Simple List widget "no publico", editándolo y quitando el check

Verificacion

Vuelves a ejecutar el código python y verás que ya no eres vulnerable.

Algun paso extra

Revisa que en la tabla "sp_rel_widget_clone_list" no tengas un clone del widget. Si lo tienes, tendrás que hacer lo mismo. Pero claro, si lo tienes, significa que lo estás usando y posiblemente "si quieres" que esos datos sean accesibles por un usario sin hacer login. Es lo primero que comenta el KB. Por tanto, antes de tomar la acción, revisa bien cual es tu situación.

Algunos pensamientos

Nos pensamos si publicar o no este artículo. Por un lado no queríamos generar "alarma social", pero por otro, creiamos que era una buena ocasión de compartir algo útil, que puede ahorrar a muchos de vosotros tiempo y dolores de cabeza.

No pretende este artículo ser la solución definitiva, pero si un primer fix de acción rápida en el caso que estés afectado y quieras, primero frenar cualquier problema y luego analizarlo con calma.

Esperamos (en plural, mi "amigo invisible" quien es el verdadero crack que me ayudó en esto y yo) que os sirva este artículo.

Como siempre, cualquier comentario es bienvenido!

Suerte, aplicar el fix si estáis afectados y buena semana!

Saludos,

Ariel