ثغرة خطيرة في منصة ServiceNow تهدد بكشف بيانات حساسة

خرق أمني عالي الخطورة يُمكّن مهاجمين من استخراج بيانات دون تفويض عبر استغلال إعدادات وصول غير محكمة.

ثغرة خطيرة في منصة ServiceNow تهدد بكشف بيانات حساسة
الثغرة تسمح للمهاجمين بالكشف التدريجي عن بيانات غير مصرح بها عبر تحليل استجابات النظام لاختبارات الوصول.

كشفت شركة Varonis المتخصصة في الأمن السيبراني عن ثغرة خطيرة في منصة ServiceNow تحمل رقم التعريف CVE-2025-3648، وتم تصنيفها بدرجة خطورة 8.2 وفقاً لمقياس CVSS. الثغرة، التي أُطلق عليها اسم “Count(er) Strike”، تسمح للمهاجمين باستغلال إعدادات قائمة التحكم بالوصول (ACL) لاستخلاص بيانات من جداول غير مصرح بها.

وذكرت Varonis أن الخلل يكمن في عنصر واجهة المستخدم الذي يعرض عدد السجلات على صفحات القوائم، حيث يمكن استخدامه لتنفيذ استعلامات نطاقية تكشف عدد السجلات المحجوبة لأسباب تتعلق بالأمان، مما يتيح استنتاج معلومات حساسة دون الحاجة إلى صلاحيات عالية. الثغرة قد تسمح بالوصول إلى بيانات تعريفية ومعلومات حساسة مثل بيانات التعريف الشخصية (PII) وبيانات الاعتماد.

وتشير التقارير إلى أن الاستغلال لا يتطلب سوى وصول محدود إلى الجداول المتأثرة، سواء من خلال حسابات ضعيفة أو حتى مستخدمين مجهولي الهوية، ما يزيد من خطر التسلل دون الحاجة إلى تصعيد امتيازات.

ويعود سبب الخطورة إلى آلية تقييم شروط ACL التي تبدأ بالتحقق من الصلاحيات، تليها السمات الأمنية، ثم شروط البيانات وأخيراً الشروط النصية. هذا الترتيب يسمح للمهاجمين بتحليل الفروقات في الرسائل المعروضة واستخدامها كوسيلة لاكتشاف الثغرات في إعدادات الوصول.

وأفادت Varonis أن العديد من الجداول داخل ServiceNow عرضة لهذا النوع من الهجمات، خاصةً تلك التي تعتمد فقط على شرط البيانات أو الشرط النصي دون تفعيل الشروط الأقوى مثل الصلاحيات والسمات الأمنية.

وللحد من أثر الثغرة، سارعت ServiceNow إلى إطلاق ضوابط أمنية جديدة تشمل “قوائم تحكم الاستعلام” (Query ACLs)، و”مرشحات البيانات الأمنية” (Security Data Filters)، و”قواعد الرفض ما لم يُصرّح” (Deny-Unless ACLs). وأكدت الشركة أنه لا توجد أدلة حالية على استغلال الثغرة في هجمات فعلية، لكنها دعت جميع العملاء إلى مراجعة إعدادات الجداول الحساسة.

كما نبهت إلى أن قوائم تحكم الاستعلام النطاقي ستُضبط افتراضياً على الرفض في التحديثات القادمة، ما يتطلب من المؤسسات إعداد استثناءات لتفادي تعطيل الوظائف المشروعة للمستخدمين المصرح لهم.

الموثوقة والمعتمدة لدى خبراء الأمن السيبراني

تقرأ في نشرتنا التي تصلك كل أسبوع:

  • أحدث أخبار ومستجدات الأمن السيبراني محليًا وعالميًا.
  • تحليلات وتقارير دقيقة يقدمها خبراء المجال.
  • نصائح عملية لتطوير استراتيجياتك السيبرانية.
  • مراجعات شاملة لأهم الأحداث والتطورات التقنية
Go to Top