ServiceNow-Sicherheitslücke: Datenexposition durch fehlerhafte ACL-Konfigurationen

LONDON (IT BOLTWISE) – Eine kürzlich entdeckte Sicherheitslücke in der ServiceNow-Plattform könnte zu erheblichen Datenschutzverletzungen führen, wenn sie nicht behoben wird. Die Schwachstelle, die als CVE-2025-3648 bekannt ist, ermöglicht es Angreifern, sensible Daten durch fehlerhafte Access Control List (ACL)-Konfigurationen zu erschließen.

Eine schwerwiegende Sicherheitslücke in der ServiceNow-Plattform wurde aufgedeckt, die bei erfolgreicher Ausnutzung zu Datenexposition und -exfiltration führen könnte. Die als CVE-2025-3648 verfolgte Schwachstelle, die einen CVSS-Score von 8,2 aufweist, wird als Fall von Dateninferenz durch bedingte Access Control List (ACL)-Regeln beschrieben. Diese Schwachstelle, die den Codenamen Count(er) Strike trägt, könnte es nicht autorisierten Benutzern ermöglichen, über Bereichsabfragen auf Instanzdaten zuzugreifen, die ihnen nicht zugänglich sein sollten.

Die Cybersicherheitsfirma Varonis, die die Schwachstelle im Februar 2024 entdeckte und meldete, erklärte, dass sie von böswilligen Akteuren ausgenutzt werden könnte, um unbefugten Zugriff auf sensible Informationen, einschließlich personenbezogener Daten und Anmeldeinformationen, zu erlangen. Im Kern betrifft das Problem das UI-Element zur Aufzeichnung der Anzahl auf Listen-Seiten, das trivial missbraucht werden könnte, um vertrauliche Daten aus verschiedenen Tabellen innerhalb von ServiceNow zu erschließen und offenzulegen.

Besonders besorgniserregend ist, dass diese Schwachstelle relativ einfach auszunutzen war und nur minimalen Tabellenzugriff erforderte, wie etwa ein schwaches Benutzerkonto innerhalb der Instanz oder sogar ein selbstregistrierter anonymer Benutzer, der die Notwendigkeit einer Privilegienerhöhung umgehen und zu einer Exposition sensibler Daten führen könnte. Speziell fand das Unternehmen heraus, dass der Zugriff auf ServiceNow-Tabellen, obwohl er durch ACL-Konfigurationen geregelt ist, genutzt werden könnte, um Informationen zu erlangen, selbst in Szenarien, in denen der Zugriff aufgrund einer fehlgeschlagenen “Datenbedingung” oder “Skriptbedingung” verweigert wird.

In diesen Fällen wird den Benutzern eine Nachricht angezeigt, die besagt: “Anzahl der Zeilen, die durch Sicherheitsbeschränkungen aus dieser Liste entfernt wurden”, zusammen mit der Anzahl. Wenn jedoch der Zugriff auf eine Ressource aufgrund von “Erforderlichen Rollen” oder “Sicherheitsattributbedingung” blockiert wird, wird den Benutzern eine leere Seite mit der Nachricht “Sicherheitsbeschränkungen verhindern den Zugriff auf die angeforderte Seite” angezeigt. Es ist erwähnenswert, dass die vier ACL-Bedingungen in einer bestimmten Reihenfolge ausgewertet werden, beginnend mit Rollen, gefolgt von Sicherheitsattributen, Datenbedingung und schließlich Skriptbedingung.

Um auf eine Ressource zugreifen zu können, müssen alle diese Bedingungen erfüllt sein. Jede Bedingung, die leer gelassen wird, wird als nicht einschränkend angesehen. Die Tatsache, dass die Antworten je nach den vier ACL-Bedingungen unterschiedlich sind, eröffnet einen neuen Angriffsweg, den ein Bedrohungsakteur ausnutzen kann, um festzustellen, welche Zugriffsbedingungen nicht erfüllt sind, und dann wiederholt die Datenbanktabelle abzufragen, um die gewünschten Informationen mithilfe einer Kombination aus Abfrageparametern und Filtern zu enumerieren.

ServiceNow hat als Reaktion auf die Erkenntnisse neue Sicherheitsmechanismen eingeführt, wie Query ACLs, Sicherheitsdatenfilter und Deny-Unless ACLs, um das Risiko zu mindern, das durch den Dateninferenz-Blindabfrageangriff entsteht. Obwohl es keine Hinweise darauf gibt, dass das Problem jemals in freier Wildbahn ausgenutzt wurde, werden alle ServiceNow-Kunden dringend aufgefordert, die notwendigen Schutzmaßnahmen für sensible Tabellen zu ergreifen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!