Warning to ServiceNow admins: Fix your access control lists now
安全厂商警告称,ServiceNow管理用户访问控制列表(ACL)的方式存在漏洞,攻击者可轻松窃取敏感数据。研究人员敦促管理员立即检查自定义和标准数据配置表以加强安全防护。
Varonis研究人员一年前就向ServiceNow报告了这个漏洞,使其能够悄悄修补平台并在5月向客户发布安全更新。随着ServiceNow本周发布通用漏洞披露(CVE-2025-3648),Varonis公开了漏洞细节。
IDC总裁Crawford Del Prete表示:“ServiceNow的更新修复了可能允许低权限用户访问受限数据的漏洞。考虑到ServiceNow处理的数据类型,这种情况总是可能很严重。”
Forrester Research企业架构首席分析师Charles Betz称这是"相当严重的漏洞",敦促管理员"立即采取行动"。他指出:“随着CVE公开,攻击者很可能开始针对这些数据。”
漏洞技术细节
该访问控制漏洞允许未经认证或已认证用户在某些条件下通过查询请求访问未授权数据。Varonis安全研究经理Yogev Madar指出,攻击者可以利用以下方式实施攻击:
- 仅依赖数据或脚本条件的ACL可能被滥用
- 未使用新的"Deny else"ACL机制
- 未应用Query ACL规则限制查询操作符
ServiceNow已在Xanadu和Yokohama平台版本中引入额外的访问控制列表框架。Varonis在博客中表示:“该漏洞相对容易利用,只需要最小的表访问权限,如实例中的弱用户账户甚至自注册匿名用户。”
数据存储架构风险
ServiceNow将所有信息组织到表中,包括事件、请求、实例属性、用户数据、应用凭证等。这些表通过引用字段相互关联,而访问主要通过ACL规则控制。一个ServiceNow实例可能包含数万个ACL规则。
ACL规则包含四个访问条件,按以下顺序评估:
- 必需角色
- 安全属性条件
- 数据条件
- 脚本条件
Varonis发现,如果访问因前两个条件被拒绝,系统会完全拒绝访问;但如果因数据或脚本条件被拒,用户仍能看到查询返回的记录总数,攻击者可利用查询参数通过枚举推断详细数据。
修复建议
ServiceNow提供了新的ACL规则供管理员实施:
- Query ACL:限制用户可执行的查询
- 新的安全数据过滤器:基于角色或安全属性限制记录访问
Reco首席产品官Gal Nakash强调:“这提醒我们即使成熟平台在访问控制方面也可能存在危险盲点。组织必须采用’最小权限’原则配置ACL,绝不能让角色和安全属性留空或过于宽泛。”