الأمن السيبراني
#ServiceNow
#ثغرة_أمنية
ثغرة جديدة في ServiceNow تسمح للمهاجمين بتعداد البيانات المحظورة
تم اكتشاف ثغرة جديدة في ServiceNow، تُعرف باسم Count(er) Strike، تسمح للمستخدمين ذوي الامتيازات المنخفضة باستخراج بيانات حساسة من الجداول التي لا ينبغي لهم الوصول إليها.
ServiceNow هي منصة سحابية تمكّن المنظمات من إدارة سير العمل الرقمي لعملياتها. تُستخدم على نطاق واسع عبر مختلف الصناعات، بما في ذلك القطاع العام والرعاية الصحية والمؤسسات المالية.
تم اكتشاف هذه الثغرة بواسطة Varonis Threat Labs في فبراير 2024 وتم تعيينها رقم CVE-2025-3648، وقد تؤثر على التكوينات ذات قوائم التحكم في الوصول (ACLs) غير المهيأة أو المفرطة السماحية.
أصدرت ServiceNow أطر عمل إضافية للتحكم في الوصول في إصدارات Xanadu وYokohama، التي صدرت الشهر الماضي، لمعالجة هذه المشكلة. ومع ذلك، يجب على جميع المسؤولين مراجعة الجداول الحالية للتأكد من أن بياناتهم محمية بشكل صحيح.
ثغرة Count(er) Strike
تستخدم ServiceNow قوائم التحكم في الوصول (ACLs) لتقييد الوصول إلى البيانات داخل جداولها. كل ACL تقيم أربعة شروط عند تحديد ما إذا كان يجب أن يحصل المستخدم على وصول إلى مورد معين:
- الأدوار المطلوبة
- السمات الأمنية
- شروط البيانات
- شروط البرنامج
لكي يحصل المستخدم على وصول إلى مورد، يجب أن يتم استيفاء جميع هذه الشروط.
ومع ذلك، إذا كان المورد محميًا بعدة ACLs، كانت ServiceNow تستخدم سابقًا شرط "السماح إذا"، مما يعني أنه إذا استوفى المستخدم شرطًا واحدًا فقط، يمكنه الحصول على وصول، حتى لو كانت ACLs الأخرى قد منعتهم.
في بعض الحالات، منح هذا وصولًا كاملاً. ومع ذلك، في حالات أخرى، سمح بالوصول الجزئي، مثل عدد السجلات التي يمكن استغلالها.
وجدت Varonis أنه إذا فشل المستخدم في شرط data أو شرط script، لا تزال ServiceNow تُرجع عدد السجلات في واجهة المستخدم وHTML المصدر.
مع هذه البيانات الجزئية، بدأت Varonis في معالجة الفلاتر المستندة إلى URL، مثل STARTSWITH، CONTAINS، =، و!= لتعداد محتويات السجلات حرفًا أو شرطًا واحدًا في كل مرة.
على سبيل المثال:
https://[my_company].service-now.com/task_list.do?sysparm_query=short_descriptionSTARTSWITHpتكرار هذه العملية مع قيم واستعلامات مختلفة يسمح باسترجاع البيانات حرفًا أو رقمًا في كل مرة.
لأتمتة هذه العملية، أنشأت Varonis نصًا برمجيًا نجح في تعداد سجلات البيانات من جدول كان لديهم وصول محدود إليه.
حتى عندما لا يتم عرض بيانات السجل، فإن عدد السجلات يكشف معلومات كافية لتحديد الحقول، بما في ذلك بيانات الاعتماد، والبيانات الشخصية، وبيانات التكوين الداخلية.
حذرت Varonis من أن المستخدمين الذين قاموا بالتسجيل الذاتي يمكنهم أيضًا استخدام هذا الهجوم. التسجيل الذاتي هو ميزة تسمح للمستخدمين بإنشاء حسابات والوصول إلى النظام بامتيازات محدودة، والتي لا تزال يمكن استخدامها لبدء هجوم.
"على الرغم من أنه نادرًا ما تسمح الأنظمة بالتسجيل المجهول والوصول، فقد وُجدت هذه التكوينات في أنظمة ServiceNow الخاصة بعدة شركات من Fortune 500،" حذرت Varonis.
تخفيف الهجوم
أخبرت Varonis BleepingComputer أنهم اختبروا الهجوم ضد منتج ServiceNow's ITSM، لكنهم ذكروا أنه يجب أن ينطبق أيضًا على جميع منتجات ServiceNow التي تستخدم نفس منطق ACL.
عالجت ServiceNow الآن الهجوم من خلال:
- تقديم ACLs "Deny Unless"، التي تتطلب من المستخدمين اجتياز جميع ACLs للحصول على وصول إلى مجموعة بيانات.
- إضافة ACLs استعلامية، التي تقيد هذه الأنواع من استعلامات التعداد باستخدام عوامل تشغيل النطاق.
- التوصية باستخدام فلاتر بيانات الأمان، التي تخفي عدد الصفوف وتخفف من إشارات الاستدلال.
ومع ذلك، يجب على العملاء مراجعة جداولهم يدويًا وتعديل ACLs للتأكد من أنها ليست مفرطة السماحية، وبالتالي عرضة لهذا الهجوم.
تقول Varonis إنها لم تر أي دليل على أن هذه الثغرة قد تم استغلالها في البرية.
تحديث 10/7/25: تم تحديث المقال لإصلاح خطأ كان ينص على أن الثغرة تم اكتشافها في فبراير 2025. تم اكتشافها في فبراير 2024.
Secrets Security Cheat Sheet: From Sprawl to Control
سواء كنت تقوم بتنظيف المفاتيح القديمة أو إعداد حواجز لحماية التعليمات البرمجية التي تم إنشاؤها بواسطة AI، يساعدك هذا الدليل في بناء الأمان من البداية.
احصل على ورقة الغش وازل التخمين من إدارة الأسرار.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!