La plataforma de ServiceNow revela fallas de seguridad de alta resistencia, que, si se explotan con éxito, podrían conducir a la exposición y eliminación de datos.
La vulnerabilidad rastreada como CVE-2025-3648 (puntaje CVSS: 8.2) se describe como un caso de inferencia de datos en las plataformas actuales a través de reglas de la lista de control de acceso condicional (ACL). Hubo una huelga de nombre en código (ER).
«Actualmente se están identificando vulnerabilidades en la plataforma, y los datos pueden inferirse sin autorización», dijo ServiceNow en un informe de noticias de última hora. «Bajo una configuración específica de la lista de control de acceso condicional (ACL), la vulnerabilidad permite a los usuarios despiadados y autenticados inferir datos de instancias que son inaccesibles utilizando solicitudes de consulta de rango».
La compañía de ciberseguridad Varonis, que descubrió e informó el defecto en febrero de 2024, dijo que un actor malicioso podría haber sido utilizado mal para obtener acceso no autorizado a información confidencial, incluida la información de identificación personal (PII) y las credenciales.
En ese núcleo, los inconvenientes afectan los elementos UI de recuento de registros de la página de la lista. Esto podría ser un abuso menor de inferir y publicar datos confidenciales de varias tablas dentro de ServiceNow.
«Esta vulnerabilidad podría afectar potencialmente todas las instancias de ServiceNow y afectar a cientos de tablas», dijo el investigador de Varonis Neta Armon en un análisis el miércoles.
«En la mayoría de los casos, esta vulnerabilidad es relativamente simple y requiere un acceso mínimo a la tabla, como cuentas de usuarios débiles dentro de una instancia o usuarios anónimos autorregados, evitando la necesidad de altos privilegios y potencialmente conduciendo a la exposición de datos confidenciales».
Específicamente, la compañía descubrió que, si bien es administrada por una configuración de ACL, se puede utilizar para recopilar información utilizando el acceso a las tablas ServiceNow.
En estos casos, se le solicitará al usuario que incluya el recuento junto con el «número de líneas eliminadas de esta lista debido a restricciones de seguridad». Sin embargo, si el acceso a un recurso se bloquea debido a un «rol requerido» o «condición de atributo de seguridad», el usuario recibirá una página en blanco con el mensaje «Las restricciones de seguridad impiden el acceso a la página solicitada».
Vale la pena mencionar que las cuatro condiciones de ACL se evalúan en un orden específico, comenzando con un papel, seguido de atributos de seguridad, condiciones de datos y finalmente condiciones de script. Se deben cumplir todas estas condiciones para que los usuarios accedan al recurso. Se considera que un estado que queda vacío no se limita a ningún tipo.
El hecho de que las respuestas difieran en función de las cuatro condiciones de ACL abre una nueva ruta de ataque que los actores de amenaza pueden aprovechar para determinar qué condiciones de acceso no se cumplen, y consultando repetidamente las tablas de la base de datos en enumerar la información deseada utilizando una combinación de parámetros de consulta y filtros. Las tablas que están protegidas solo por datos o condiciones de secuencias de comandos son susceptibles a ataques de inferencia.
«Mientras los usuarios en una instancia tengan acceso a al menos una mesa incomprendida, esta vulnerabilidad puede minimizarse e incluso los usuarios no asignados pueden aprovecharla», dijo Armon. «Esta vulnerabilidad se aplica a cualquier tabla en una instancia en la que la regla de ACL tenga al menos una regla de ACL, donde las dos primeras condiciones permanecen vacías o excesivamente tolerantes. Esta es una situación común».
Peor aún, los actores de amenaza pueden usar técnicas como el desplazamiento y el autorregistro para expandir el radio de explosión del defecto para que puedan acceder a datos adicionales de tablas referenciadas, crear cuentas y acceder a la instancia sin la necesidad de aprobación previa del administrador.
Dependiendo de sus hallazgos, ServiceNow introduce nuevos mecanismos de seguridad como ACL de consulta, filtros de datos de seguridad y Denegar ACLS para contrarrestar los riesgos planteados por los ataques de consulta a ciegas de inferencia de datos. Aunque no hay evidencia de que este problema haya sido explotado en la naturaleza, se insta a todos los clientes de ServiceNow a aplicar las barandillas necesarias a las tablas sensibles.
«Los clientes de ServiceNow también deben tener en cuenta que las ACL de consulta para el rango de consulta están configurados para negar predeterminados, por lo que deben crear una exclusión para mantener la capacidad de realizar tales acciones», dijo Armon.
DLL Defecto de secuencia en el software de menú rápido de Lenovo TrackPoint
Este desarrollo ha detallado el defecto en la escalada de privilegios (CVE-2025-1729) en el software de menú rápido de TrackPoint («TPQMassistant.exe») que se encuentra en las computadoras de Lenovo, lo que permite a los atacantes locales aumentar los privilegios al secuestrar la vulnerabilidad.
Este defecto se aborda en la versión 1.12.54.0 lanzado el 8 de julio de 2025, luego de la divulgación responsable a principios de enero de este año.
«La vivienda del directorio ‘tpqMassistant.exe’ es fácil para los usuarios estándar escribir cartas, ya una bandera roja», dijo el investigador de seguridad Oddber Moh. «Los permisos de carpeta permiten que el propietario del creador escriba archivos, lo que significa que los usuarios locales pueden soltar archivos en esta ubicación».
«Cuando se activa una tarea programada (o el binario en sí), intenta cargar» hostfxr.dll «desde el directorio de trabajo, pero no se puede encontrar el nombre.
Como resultado, un atacante puede colocar una versión maliciosa de «hostfxr.dll» en «C: \ ProgramDatallenovoltpqm \ Assistant» cuando se inicia el binario.
Microsoft se dirige a un error en Kerberos Dos
Los hallazgos también siguen la publicación del defecto leído del Protocolo de NetLogon (CVE-2025-47978, CVSS Puntuación: 6.5) para Windows Kerberos. Microsoft abordó la vulnerabilidad como parte del parche para la actualización del martes de julio de 2025.
Silverfort, que asignó a Notlogon a CVE-2025-47978, dijo que permitiría «máquinas de enlace de dominio con privilegios mínimos para enviar solicitudes de autenticación especialmente creadas que bloquean el controlador de dominio y causarían un reinicio completo».
«Esta vulnerabilidad no requiere altos privilegios que requieran acceso estándar de la red y cuentas de máquinas débiles. En un entorno empresarial típico, los usuarios modestos pueden crear tales cuentas por defecto».
Las compañías de seguridad cibernética también señalaron que el accidente afectó principalmente a los Servicios Subsistema del Departamento de Seguridad local (LSASS). Dice que este es un proceso de seguridad crítico para Windows, que es responsable de hacer cumplir las políticas de seguridad y manejar la autenticación de los usuarios. Por lo tanto, la explotación exitosa de CVE-2025-47978 puede desestabilizar o interrumpir los servicios de Active Directory.
«El uso solo de una cuenta de máquina válida y mensajes de RPC diseñados permite a un atacante bloquear un controlador de dominio de forma remota, un sistema responsable de las funciones principales de Active Directory, incluida la autenticación, la autorización, la aplicación de políticas grupales y el problema de los boletos de servicio», dijo Segal.
Source link
