สรุปสั้น

ServiceNow แพลตฟอร์มจัดการเวิร์กโฟลว์และ IT service management ระดับองค์กรที่ใช้กันแพร่หลายทั่วโลก ออกประกาศเตือนเหตุการณ์ด้านความปลอดภัยที่ผู้โจมตีไม่ทราบฝ่ายได้ใช้ช่องโหว่เพื่อเข้าถึง instance ของลูกค้าเกินกว่าสิทธิ์ที่ควรได้รับ บริษัทได้ใช้อัปเดตความปลอดภัยกับ instance ที่โฮสต์ให้ลูกค้าเมื่อวันที่ 5 มิถุนายน พ.ศ. 2569 โดยปรับการตั้งค่า endpoint ให้จำกัดการเข้าถึงเฉพาะผู้ใช้ที่ผ่านการยืนยันตัวตนแล้ว ช่องโหว่นี้ยังไม่มีหมายเลข CVE และ ServiceNow ระบุว่าตรวจพบกิจกรรมผิดปกติที่เกี่ยวข้อง พร้อมพบหลักฐานการ query ตาราง instance สำเร็จต่อลูกค้ากลุ่มหนึ่ง โดยลูกค้าที่ได้รับผลกระทบได้รับการแจ้งเตือนแล้ว เหตุการณ์นี้ยังอยู่ระหว่างการพัฒนาและอาจมีรายละเอียดเพิ่มเติม

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 10 มิถุนายน พ.ศ. 2569 ว่า ServiceNow ได้เปิดเผยช่องโหว่ผ่านประกาศ advisory ที่ต้องเข้าถึงด้วยบัญชีลูกค้า โดยระบุว่า “อัปเดตนี้เกี่ยวข้องกับปัญหาด้านความปลอดภัยที่อาจเปิดให้ผู้ใช้ที่ไม่ผ่านการยืนยันตัวตน ในบางสถานการณ์ สามารถเข้าถึง instance ของ ServiceNow ได้มากกว่าที่ตั้งใจ” รายละเอียดของปัญหาปรากฏครั้งแรกบน Reddit ในหมวด r/servicenow ก่อนที่บริษัทจะออกมายืนยัน ServiceNow ระบุว่าช่องโหว่นี้เกี่ยวข้องกับลูกค้าที่อยู่บน Australia platform release หรือลูกค้าที่ทำการปรับเปลี่ยนการตั้งค่า config บางอย่างบน instance รุ่นก่อน Australia โดยที่น่ากังวลคือมีผู้ใช้ Reddit ชื่อ “d3s7iny” อ้างว่าทีมความปลอดภัยของตนเป็นผู้รายงานช่องโหว่นี้ และระบุว่า ServiceNow รับรู้ปัญหานี้ภายในองค์กรมาตั้งแต่วันที่ 7 เมษายน พ.ศ. 2569 แต่จัดประเภทเป็นปัญหาที่ไม่เร่งด่วน โดยวางแผนแก้ไขในอัปเดตครั้งถัดไป ใช้เวลาราวสองเดือนก่อนจะออกแพตช์

รายละเอียดช่องโหว่

ช่องโหว่นี้เป็นปัญหาด้านการควบคุมการเข้าถึง (access control) ที่ endpoint หนึ่งของ ServiceNow เปิดให้ผู้ใช้ที่ไม่ผ่านการยืนยันตัวตน (unauthenticated) สามารถ query ข้อมูลในตารางของ instance ได้ภายใต้เงื่อนไขบางอย่าง ทำให้ผู้โจมตีดึงข้อมูลที่ควรถูกป้องกันออกมาได้ การที่ ServiceNow มักเก็บข้อมูลธุรกิจที่อ่อนไหว เช่น ตั๋วงาน IT, ข้อมูลพนักงาน, ข้อมูลทรัพย์สิน, บันทึกการเปลี่ยนแปลงระบบ และข้อมูลลูกค้า ทำให้การเข้าถึงตาราง instance เกินสิทธิ์มีความเสี่ยงต่อการรั่วไหลของข้อมูลในวงกว้าง การแก้ไขทำโดยปรับ endpoint configuration ให้บังคับการยืนยันตัวตนก่อนเข้าถึง อย่างไรก็ตาม ServiceNow ยืนยันว่าตรวจพบการ query สำเร็จต่อลูกค้ากลุ่มย่อยจริง ซึ่งหมายความว่านี่ไม่ใช่เพียงช่องโหว่ทางทฤษฎี แต่ถูกใช้โจมตีจริงแล้ว (exploited in the wild)

ผลกระทบต่อไทย

ServiceNow เป็นแพลตฟอร์มที่องค์กรขนาดใหญ่ในไทยจำนวนมากใช้งาน ทั้งสถาบันการเงิน บริษัทโทรคมนาคม หน่วยงานราชการ และองค์กรที่มีระบบ IT service management ขนาดใหญ่ การที่ช่องโหว่เปิดให้เข้าถึงข้อมูลใน instance เกินสิทธิ์โดยไม่ต้องยืนยันตัวตน ถือเป็นความเสี่ยงโดยตรงต่อข้อมูลภายในขององค์กรไทยที่ใช้บริการคลาวด์ของ ServiceNow โดยเฉพาะองค์กรที่อยู่บน Australia release ซึ่งเป็น region ที่ใกล้กับลูกค้าในเอเชียแปซิฟิก หรือองค์กรที่เคยปรับแต่ง config เอง องค์กรไทยควรตรวจสอบกับ account team ของ ServiceNow ทันทีว่า instance ของตนได้รับผลกระทบหรือไม่ และทบทวน log การเข้าถึงย้อนหลังตั้งแต่ช่วงเดือนเมษายนที่ปัญหานี้น่าจะเปิดให้โจมตีได้

คำแนะนำ

ยืนยันว่า instance ของท่านได้รับแพตช์ที่ ServiceNow ใช้เมื่อวันที่ 5 มิถุนายน 2569 แล้ว ติดต่อ account team หรือ support ของ ServiceNow เพื่อตรวจสอบว่า instance ของท่านอยู่ในกลุ่มที่ได้รับผลกระทบหรือไม่ ตรวจสอบ log การเข้าถึงและ query ที่ผิดปกติย้อนหลังตั้งแต่ต้นเดือนเมษายน หากพบสัญญาณการเข้าถึงข้อมูลผิดปกติให้เริ่มกระบวนการ incident response ทันที ทบทวนการตั้งค่า access control และ endpoint ที่เคยปรับแต่งเอง และพิจารณาเปลี่ยน credential หรือ token ที่อาจถูกเปิดเผย ติดตามประกาศจาก ServiceNow อย่างใกล้ชิดเนื่องจากเหตุการณ์นี้ยังอยู่ระหว่างการพัฒนา

แหล่งอ้างอิง