警告ServiceNow管理员:立即修复访问控制列表漏洞
漏洞概述
安全厂商Varonis发现ServiceNow用户访问控制列表(ACL)管理方式存在漏洞,威胁攻击者可轻易窃取敏感数据。研究人员一年前已向ServiceNow报告该漏洞,平台方于5月悄悄发布补丁。随着ServiceNow本周发布通用漏洞披露(CVE-2025-3648),Varonis公开了技术细节。
漏洞影响
该访问控制漏洞允许未认证用户(特定条件下甚至认证用户)通过查询请求访问未授权数据。Varonis安全研究经理Yogev Madar强调:“管理员需审查环境中的ACL,并利用新的访问机制确保漏洞不被滥用。”
技术机制深度解析
数据存储结构
- ServiceNow将所有信息组织为数据表,包括事件请求、实例属性、用户数据、应用凭证等
- 通过引用字段建立表间关联(如事件表与用户表的关联)
- 主要通过ACL规则管理表访问权限
ACL规则四重条件
- 必需角色:用户需具备指定角色方可访问资源
- 安全属性条件:基于安全属性判定访问权限
- 数据条件:基于数据特定标准(如状态、日期范围)限制访问
- 脚本条件:执行自定义逻辑实现复杂安全规则
漏洞触发原理
当访问因"数据条件"或"脚本条件"被拒绝时,系统仍会返回查询记录总数,攻击者可通过查询参数推断详细数据。Varonis指出:“威胁攻击者可编写简单脚本自动化枚举过程,从HTML源码提取完整记录数据。”
修复方案
新增安全机制
- 查询ACL规则:限制用户可执行查询的操作符,阻止枚举尝试
- 安全数据过滤器:基于角色或安全属性断言限制记录访问
- “Deny else"机制:提供更完善的访问控制
配置建议
- 检查ACL是否过度依赖数据或脚本条件
- 启用新访问控制机制(Xanadu和Yokohama版本)
- 遵循"最小权限"原则配置ACL
- 持续监控异常查询模式和低权限用户访问
行业专家警示
Forrester研究公司企业架构首席分析师Charles Betz称此为"相当严重的漏洞”,强调:“如果运行ServiceNow等大型生产系统却不关注安全问题,就是失职。“IDC总裁Crawford Del Prete指出:“ServiceNow将默认姿态改为’默认拒绝’,确保不会意外授予非特权用户访问权限。”
风险预警
尽管Varonis未发现5月补丁发布前该漏洞被利用的案例,但强调:“允许匿名注册和访问的配置出现在多家财富500强企业的ServiceNow系统中。“SaaS安全解决方案提供商Reco首席产品官Gal Nakash警告:“对于医疗、金融或政府等受监管行业,这是次警醒呼叫。”