ServiceNow platformunda önemli bir güvenlik açığı, CVE-2025-3648 olarak adlandırılan ve “Count (ER) Grev” olarak adlandırılan, saldırganların PII, kimlik bilgileri ve finansal bilgiler de dahil olmak üzere hassas verileri sunmalarını sağlar.
Bu yüksek şiddetli güvenlik açığı, numaralandırma teknikleri ve sorgu filtreleri aracılığıyla liste sayfalarındaki kayıt sayısı öğesinden yararlanır ve tüm hizmet örneklerini risk altındaki yüzlerce tablo ile etkilemektedir.
Key Takeaways
1. CVE-2025-3648 "Count(er) Strike" enables data extraction from ServiceNow through record count exploitation.
2. Requires only basic user access or self-registration - no special tools or elevated privileges needed.
3. Affects all ServiceNow instances, especially Fortune 500 companies (85% of customer base).
4. ServiceNow patched in May 2025 with new security controls - immediate implementation recommended.
Güvenlik açığı, özellikle sadece minimum erişim ayrıcalıkları gerektirdiği ve zayıf hesapları olan ve hatta kendi kendine kayıtlı anonim kullanıcılar tarafından kullanılabilir.
Sayım (ER) Grev Güvenlik Açığı (CVE-2025-3648)
Varonis Tehdit Laboratuarları, sayım (ER) grev güvenlik açığının ServiceNow’un dört temel koşulla veri erişimini yöneten erişim kontrol listesi (ACL) mekanizmasını etkilediğini bildirir: gerekli roller, güvenlik özniteliği koşulları, veri koşulları ve komut dosyası koşulları.
İlk iki koşulun başarısız olması nedeniyle erişim reddedildiğinde, ServiceNow “Güvenlik kısıtlamaları istenen sayfaya erişimi önlemek” içeren boş bir sayfa görüntüler.
Ancak, veri veya komut dosyası koşulları nedeniyle erişim başarısız olduğunda, sistem toplam kayıt sayısını “Güvenlik kısıtlamaları ile bu listeden kaldırılan satır sayısı” mesajıyla ortaya çıkarır.
Bu bilgi açıklaması, ACL kurallarının boş veya aşırı izin veren rol gereksinimlerine ve güvenlik özniteliği koşullarına sahip olduğu tablolardan yararlanabildiğinden, önemli bir güvenlik açığı yaratır.
Güvenlik açığı, BT hizmet yönetimi (ITSM), Müşteri Hizmetleri Yönetimi (CSM) ve İnsan Kaynakları Hizmet Teslimi (HRSD) dahil olmak üzere çoklu hizmet alanlarını etkiler ve potansiyel olarak ServiceNow’un müşteri tabanının% 85’ini oluşturan Fortune 500 şirketleri arasında hassas verileri ortaya çıkarır.
Saldırganlar, sorgu parametrelerini ve filtreleme tekniklerini kullanarak sistematik numaralandırma yoluyla bu güvenlik açığını kullanabilir. Temel sömürü süreci, belirli sorgu parametrelerine sahip URL’lerin oluşturulmasını içerir:
Bu sorgu filtreler, belirli bir alanın “A” harfi ile başladığı kayıtları göstermek için sonuçlanır. Daha sofistike saldırılar çoklu koşulları birleştirebilir:
Saldırganlar, veri karakterini karakterle numaralandırmak için komut dosyalarını kullanarak bu işlemi otomatikleştirebilir ve tüm veritabanı kayıtlarını etkili bir şekilde yeniden yapılandırabilir.
Güvenlik açığı, Referans alanları aracılığıyla ilgili tablolara erişime izin veren ServiceNow’un nokta yürüyüş özelliği ve anonim kullanıcıların hesap oluşturmasını ve temel erişim kazanmasını sağlayan kendi kendine kayıt özellikleri ile daha da güçlendirilir.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | ServiceNow Platformu (tüm örnekler potansiyel olarak etkilenir) |
| Darbe | Hassas bilgilerin veri açılması |
| Önkoşuldan istismar | – ServiceNow Örneği’ne Minimal Erişim- Yanlış yapılandırılmış ACL kurallarına sahip temel tablo erişim tablolarına sahip kullanıcı hesabı (boş veya aşırı izin veren rol/güvenlik özniteliği koşulları)- özel yapılandırmalar veya eklentiler gerekmez |
| CVSS 3.1 puanı | Yüksek ciddiyet |
Hafifletme
ServiceNow, yeni erişim kontrol mekanizmaları getirerek bu güvenlik açığını ele aldı.
Sorgu ACL’leri, sorgu işlemlerini query_range (startswith, içerik gibi tehlikeli operatörler içeren) veya query_match (Equals gibi güvenli operatörler içeren) ile sınırlandırarak kör sorgu saldırılarına karşı özellikle savunur.
Güvenlik veri filtreleri, rollere ve güvenlik özelliklerine, filtreleme sonuçlarına ve saldırganların sömürdüğü “Güvenlik tarafından kaldırılan satırlar” mesajını baskılayan ek kayıt düzeyi kısıtlamaları uygular.
Kuruluşlar, hizmet örneklerini derhal gözden geçirmeli, özel ve standart tablolar için ACL yapılandırmalarını doğrulamalı ve yeni güvenlik mekanizmalarını düzenlenmiş veriler içeren hassas tablolarda uygulamalıdır.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi