كشفت شركة Varonis المتخصصة في الأمن السيبراني عن ثغرة خطيرة في منصة ServiceNow تحمل رقم التعريف CVE-2025-3648، وتم تصنيفها بدرجة خطورة 8.2 وفقاً لمقياس CVSS. الثغرة، التي أُطلق عليها اسم “Count(er) Strike”، تسمح للمهاجمين باستغلال إعدادات قائمة التحكم بالوصول (ACL) لاستخلاص بيانات من جداول غير مصرح بها.
وذكرت Varonis أن الخلل يكمن في عنصر واجهة المستخدم الذي يعرض عدد السجلات على صفحات القوائم، حيث يمكن استخدامه لتنفيذ استعلامات نطاقية تكشف عدد السجلات المحجوبة لأسباب تتعلق بالأمان، مما يتيح استنتاج معلومات حساسة دون الحاجة إلى صلاحيات عالية. الثغرة قد تسمح بالوصول إلى بيانات تعريفية ومعلومات حساسة مثل بيانات التعريف الشخصية (PII) وبيانات الاعتماد.
وتشير التقارير إلى أن الاستغلال لا يتطلب سوى وصول محدود إلى الجداول المتأثرة، سواء من خلال حسابات ضعيفة أو حتى مستخدمين مجهولي الهوية، ما يزيد من خطر التسلل دون الحاجة إلى تصعيد امتيازات.
ويعود سبب الخطورة إلى آلية تقييم شروط ACL التي تبدأ بالتحقق من الصلاحيات، تليها السمات الأمنية، ثم شروط البيانات وأخيراً الشروط النصية. هذا الترتيب يسمح للمهاجمين بتحليل الفروقات في الرسائل المعروضة واستخدامها كوسيلة لاكتشاف الثغرات في إعدادات الوصول.
وأفادت Varonis أن العديد من الجداول داخل ServiceNow عرضة لهذا النوع من الهجمات، خاصةً تلك التي تعتمد فقط على شرط البيانات أو الشرط النصي دون تفعيل الشروط الأقوى مثل الصلاحيات والسمات الأمنية.
وللحد من أثر الثغرة، سارعت ServiceNow إلى إطلاق ضوابط أمنية جديدة تشمل “قوائم تحكم الاستعلام” (Query ACLs)، و”مرشحات البيانات الأمنية” (Security Data Filters)، و”قواعد الرفض ما لم يُصرّح” (Deny-Unless ACLs). وأكدت الشركة أنه لا توجد أدلة حالية على استغلال الثغرة في هجمات فعلية، لكنها دعت جميع العملاء إلى مراجعة إعدادات الجداول الحساسة.
كما نبهت إلى أن قوائم تحكم الاستعلام النطاقي ستُضبط افتراضياً على الرفض في التحديثات القادمة، ما يتطلب من المؤسسات إعداد استثناءات لتفادي تعطيل الوظائف المشروعة للمستخدمين المصرح لهم.
