top of page

Falha Crítica no ServiceNow: Risco de Exposição de Dados por ACLs Mal Configuradas

  • Foto do escritor: Internology Soluções em Marketing
    Internology Soluções em Marketing
  • 28 de ago.
  • 2 min de leitura

Uma falha de alta gravidade no ServiceNow, rastreada como CVE-2025-3648 e apelidada de Count(er) Strike, pode levar à exposição e exfiltração de dados. A vulnerabilidade permite que usuários, mesmo com privilégios mínimos, infiram dados confidenciais de tabelas mal configuradas, explorando as respostas diferenciadas das Listas de Controle de Acesso (ACLs).

ree

Uma vulnerabilidade significativa foi descoberta na plataforma ServiceNow, identificada como CVE-2025-3648 (CVSS: 8.2). Esta falha, codinome Count(er) Strike, é um caso de inferência de dados através de regras condicionais de Lista de Controle de Acesso (ACL). A Varonis, empresa de cibersegurança que reportou a falha em fevereiro de 2024, alertou que ela poderia ser explorada para obter acesso não autorizado a informações sensíveis, incluindo dados de identificação pessoal (PII) e credenciais.

Como a Vulnerabilidade Funciona

O problema reside no elemento da interface do usuário de contagem de registros em páginas de lista. Usuários podem abusar trivialmente desse recurso para inferir e expor dados confidenciais de várias tabelas dentro do ServiceNow. A vulnerabilidade afeta instâncias do ServiceNow onde as configurações de ACL são permissivas ou mal configuradas. A Varonis destacou que a exploração era relativamente simples, exigindo apenas acesso mínimo à tabela, como uma conta de usuário fraca ou até mesmo um usuário anônimo auto-registrado.

As ACLs no ServiceNow são avaliadas em uma ordem específica:

  1. Funções (Roles)

  2. Atributos de Segurança (Security Attributes)

  3. Condição de Dados (Data Condition)

  4. Condição de Script (Script Condition)

A vulnerabilidade surge porque as respostas do sistema diferem com base nas condições da ACL. Se o acesso for negado devido a uma "Condição de Dados" ou "Condição de Script" falha, uma mensagem é exibida indicando o número de linhas removidas por restrições de segurança. No entanto, se o acesso for bloqueado por "Funções Necessárias" ou "Condição de Atributo de Segurança", uma página em branco é exibida. Essa diferença permite que um invasor determine quais condições de acesso não são satisfeitas e, em seguida, consulte repetidamente o banco de dados para enumerar informações desejadas.

Implicações e Mitigação

  • Amplo Impacto: A vulnerabilidade poderia ter afetado todas as instâncias do ServiceNow e centenas de tabelas.

  • Baixos Privilégios: Qualquer usuário com acesso a pelo menos uma tabela mal configurada pode explorar a falha, mesmo com privilégios mínimos e sem funções atribuídas.

  • Expansão do Ataque: Ameaças podem usar técnicas como dot-walking e auto-registro para acessar dados adicionais de tabelas referenciadas ou criar contas sem aprovação do administrador.

Em resposta, o ServiceNow introduziu novos mecanismos de segurança, como Query ACLs, Security Data Filters e Deny-Unless ACLs, para combater o risco. Embora não haja evidências de exploração em campo, todos os clientes do ServiceNow são incentivados a aplicar as salvaguardas necessárias em tabelas sensíveis.

Outras Vulnerabilidades Recentes

  • Lenovo TrackPoint Quick Menu (CVE-2025-1729): Uma falha de elevação de privilégios por sequestro de DLL foi corrigida na versão 1.12.54.0 do software TrackPoint Quick Menu da Lenovo. A vulnerabilidade permitia que um invasor local executasse código arbitrário.

  • Microsoft Kerberos DoS (CVE-2025-47978): Uma falha de leitura fora dos limites no protocolo Netlogon do Kerberos do Windows, apelidada de NOTLogon, poderia permitir que um invasor autorizado negasse o serviço em uma rede, causando a reinicialização de controladores de domínio. A Microsoft abordou essa falha nas atualizações do Patch Tuesday de julho de 2025.


LeanBic Cibersegurança

11 3170-3283

 
 
 

Comentários

bottom of page