В июле 2025 года была опубликована информация о серьезной уязвимости в популярной корпоративной платформе ServiceNow, получившей идентификатор CVE-2025-3648 и высокую оценку по шкале CVSS — 8.2. Эта уязвимость связана с неправильной конфигурацией списков контроля доступа (ACL), что может привести к несанкционированному раскрытию данных и компрометации конфиденциальной информации. Данная проблема получила кодовое название Count(er) Strike и стала одной из наиболее обсуждаемых тем в сообществе информационной безопасности в середине 2025 года. ServiceNow — это облачная платформа, предназначенная для автоматизации процессов управления корпоративными сервисами и поддержки IT-операций.
Важной частью платформы является система контроля доступа, которая отвечает за разграничение прав пользователей и защиту данных. ACL позволяют задавать правила доступа к различным таблицам и элементам данных, основываясь на ролях, условиях и скриптах. Однако обнаруженная уязвимость демонстрирует, что ошибки в конфигурации этих правил могут привести к серьезным проблемам безопасности. Суть уязвимости заключается в обходе защиты через использование разного поведения системы в ответ на различные условия ACL. ServiceNow проверяет доступ к ресурсам в определенном порядке: сначала по ролям пользователя, затем по безопасности атрибутов, далее по условию данных и, наконец, по скриптовым условиям.
В некоторых случаях, если доступ ограничивается только условиями данных или скриптами, система отображает количество скрытых строк данных с сообщением об ограничениях безопасности, даже если непосредственный доступ к этим данным запрещен. При этом, если доступ блокируется более строгими параметрами — ролями или атрибутами безопасности — пользователю показывается пустая страница с отказом в доступе. Анализируя эту логику, исследователи из компании Varonis выявили способ атаки, при котором злоумышленник с минимальными полномочиями может отправлять запросы на выборку данных с применением фильтров и использовать полученные показатели количества записей для пошагового «угадывания» содержимого таблиц. Такой метод, известный как inference attack (атака на основе вывода), позволяет получать сведения о данных, даже если прямое чтение или изменение запрещены. В результате можно постепенно раскрыть чувствительную информацию, в том числе персональные данные, учетные записи и конфиденциальные детали.
Одним из самых тревожных аспектов уязвимости является то, что даже анонимные пользователи или пользователи с минимальными правами, например, самостоятельно зарегистрированные аккаунты без назначенных ролей, могут использовать эту технику. Уязвимость затрагивает сотни таблиц на платформе ServiceNow, поскольку неверные или неполные настройки ACL распространены во многих инсталляциях, особенно там, где в условиях доступа отсутствуют или слишком либеральны проверки ролей и безопасности. Еще более серьезная угроза кроется в возможности расширения масштабов компрометации за счет методов dot-walking — механизма, позволяющего переходить между связанными таблицами и получать данные из разных областей системы. Кроме того, создавая собственные аккаунты через функцию саморегистрации, злоумышленник может получить дополнительный доступ без одобрения администратора. Все это открывает широкий фронт атак, угрожающих безопасности организаций, использующих ServiceNow.
Эксперты по безопасности подчеркивают простоту эксплуатации данной уязвимости. Не требуется сложных технических навыков или привилегий. Главное условие — наличие доступа к хотя бы одной таблице с неправильно настроенными ACL. Это обстоятельство превращает даже небольшие ошибки в правилах доступа в уязвимости, способные привести к масштабным утечкам данных. Компания ServiceNow в ответ на выявленную угрозу оперативно выпустила обновления и рекомендации для клиентов.
Среди ключевых мер стало введение новых механизмов безопасности, включая Query ACLs — контроль запросов к данным на более тонком уровне, Security Data Filters — фильтры безопасности данных, а также Deny-Unless ACLs — правила, запрещающие доступ по умолчанию, если явно не разрешено. Эти нововведения значительно снижают риск реализации атаки посредством blind query (слепого запроса) и позволяют более гибко и надежно контролировать доступ к информации. При этом ServiceNow предупредила, что в скором времени режим по умолчанию для Query ACLs будет изменен на deny (отказ), что может повлиять на работу некоторых бизнес-процессов. Поэтому администраторам следует внимательно подходить к настройке исключений, чтобы не нарушить легитимный доступ, сохранив при этом высочайший уровень безопасности. Исследователи Varonis рекомендуют всем пользователям платформы немедленно проверить конфигурации ACL и обратить особое внимание на таблицы, где правила доступа полагаются лишь на условия «Data Condition» или «Script Condition» без жесткой проверки ролей и атрибутов безопасности.
Помимо применения обновленных политик безопасности, важно регулярно проводить аудит и тестирование на проникновение с целью выявления уязвимых сценариев. Ситуация с CVE-2025-3648 служит наглядным примером того, как даже сложные и продвинутые системы могут оказаться под угрозой из-за неправильно настроенных элементов управления доступом. Особенно актуально это для крупных предприятий с большим количеством пользователей и часто меняющимися требованиями к доступу. Важно также отметить, что хотя публичных сообщений о масштабных атаках с применением описанной уязвимости пока не зафиксировано, потенциал для серьезных инцидентов существует. Злоумышленники постоянно ищут слабые места в популярных решениях, и своевременное реагирование со стороны поставщика и клиентов становится решающим фактором в предотвращении утечек.
Для пользователей ServiceNow ключевым факторов снижения рисков должно стать образование внутренних команд по вопросам безопасности, своевременное внедрение обновлений и строгое соблюдение принципов минимальных прав доступа. Уделение повышенного внимания конфигурации ACL позволит не только избежать утечек, но и повысить общий уровень защиты корпоративной информационной инфраструктуры. CVE-2025-3648 подчеркивает важность комплексного подхода к управлению доступом, который должен учитывать все уровни проверки с акцентом на точность и полноту настроек. Неправильные пропуски или слишком широкие разрешения могут стать уязвимым местом, через которое злоумышленники смогут раскрыть критически важные данные. В заключение стоит отметить, что несмотря на сложность и масштабность платформы ServiceNow, вопросы безопасности нельзя оставлять без внимания, особенно в эпоху частых кибератак и сложных угроз.
Постоянный мониторинг, обновление и адаптация политики безопасности к новым вызовам — залог сохранения конфиденциальности и устойчивости бизнес-процессов. Организациям, использующим ServiceNow, рекомендуется тесно сотрудничать с провайдерами безопасности и регулярно отслеживать новости о возможных уязвимостях для своевременного внедрения контрмер.
