ServiceNow-Lücke: API-Schwachstelle ermöglichte unbefugten Datenzugriff
10.06.2026 - 19:33:29 | boerse-global.de
Der Cloud-Spezialist ServiceNow hat eine Sicherheitslücke bestätigt, durch die Unbefugte an Kundendaten gelangen konnten. Das Unternehmen entdeckte die verdächtigen Aktivitäten am 9. Juni 2026 und reagierte mit einem Notfall-Patch.
Der aktuelle Vorfall bei ServiceNow zeigt eindringlich, wie schnell technische Konfigurationsfehler zu massiven Sicherheitsrisiken für Unternehmensdaten führen können. In diesem kostenlosen E-Book erfahren Sie, wie Sie Ihre IT-Sicherheit proaktiv stärken und neue gesetzliche Anforderungen ohne hohe Investitionen erfüllen. IT-Sicherheit stärken und Unternehmen schützen
Schwachstelle im Authentifizierungssystem
Die Angreifer nutzten eine ungeschützte API-Schnittstelle aus, um auf Kundendatenbanken zuzugreifen. Konkret handelte es sich um den Endpunkt /api/now/related_list_edit/create – ein Skript-gesteuerter REST-Resource-Endpunkt. Das Sicherheitsproblem: Das Flag requires_authentication war auf „falsch" gesetzt, sodass die üblichen Authentifizierungsprüfungen komplett umgangen werden konnten.
Dan Moore von FusionAuth analysierte die Schwachstelle und stellte fest, dass die Authentifizierungsprüfung für diesen Endpunkt standardmäßig deaktiviert war – ein fataler Konfigurationsfehler, der den unbefugten Zugriff erst ermöglichte.
Update und betroffene Kunden
ServiceNow spielte den Sicherheits-Update bereits am 5. Juni 2026 aus. Das Unternehmen bestätigte, dass Angreifer die Lücke aktiv ausgenutzt hatten, um Daten aus den betroffenen Instanzen abzufragen. Nach der Installation des Updates begann ServiceNow, die betroffenen Organisationen zu informieren.
Besonders betroffen waren offenbar Kunden der australischen Plattformversion sowie Anwender älterer Versionen mit bestimmten Konfigurationseinstellungen. Das Unternehmen prüft derzeit die Vergabe einer offiziellen CVE-Kennung für die Sicherheitslücke.
Zeitlicher Ablauf wirft Fragen auf
Der Zeitpunkt des Patches sorgt für Diskussionen. Hinweise deuten darauf hin, dass ServiceNow bereits seit Monaten von dem Problem wusste. Ein Nutzer auf einer Social-Media-Plattform berichtete, dass das Unternehmen bereits am 7. April 2026 über das Risiko informiert wurde – es aber zunächst nicht als dringende Bedrohung einstufte.
Während technische Lücken oft im Fokus stehen, nutzen Cyberkriminelle auch immer häufiger psychologische Taktiken, um Zugriff auf sensible Firmennetzwerke zu erhalten. Dieser Gratis-Report enthüllt die aktuellen Methoden der Angreifer und zeigt Ihnen in 4 Schritten, wie Sie Ihr Unternehmen effektiv absichern. Anti-Phishing-Paket kostenlos herunterladen
Die aktive Ausnutzung der Schwachstelle begann Schätzungen zufolge um den 2. oder 3. Juni 2026, also nur wenige Tage vor dem obligatorischen Update. Sicherheitsmonitore identifizierten die IP-Adresse 51.159.98.241 als Hauptindikator für die Angriffe.
Erster bestätigter Fall dieser Art
Dieser Vorfall ist das erste Mal, dass ServiceNow die erfolgreiche Ausnutzung einer solchen Schwachstelle im produktiven Betrieb bestätigen musste. Zwar hatte das Unternehmen in den vergangenen Monaten bereits mehrere Sicherheitslücken geschlossen – darunter CVE-2025-12420 (eine Rechteausweitung, gepatcht im Oktober 2025) und CVE-2026-0542 (eine Schwachstelle zur Remote-Code-Ausführung, behoben Anfang 2026). Doch in beiden Fällen konnten Angreifer die Lücken nicht ausnutzen, bevor die Patches kamen.
Der aktuelle Vorfall markiert einen Wendepunkt: Erstmals gelang es Angreifern, eine ungeschützte API-Schnittstelle zu nutzen, um die Sicherheitsmaßnahmen der Plattform zu umgehen. Für Unternehmen, die ServiceNow einsetzen, heißt das: Die installierte Version prüfen und den aktuellen Patch umgehend einspielen.
