随着企业数字化转型的不断加速,ServiceNow作为领先的云计算平台,广泛应用于IT服务管理、流程自动化和安全合规等领域。然而,近期披露的高严重性安全漏洞CVE-2025-3648再次拉响警报,指向了平台中因ACL(访问控制列表)误配置而导致的数据泄露隐患。该漏洞使得未授权用户甚至匿名访问者能够通过巧妙的范围查询请求,推断并提取本不该访问的敏感数据,给企业信息安全带来了严峻挑战。服务平台在7月2025年发布的安全公告中指出,该漏洞得分高达8.2(CVSS评分),体现了其潜在危害的严重性。漏洞又被安全研究团队命名为Count(er) Strike,其根本原因在于条件访问控制规则的判断逻辑缺陷。对于企业运营而言,数据泄露带来的不仅是隐私风险,更可能触发合规处罚和品牌声誉的重大损失。
漏洞的发现者是著名网络安全公司Varonis,于2024年二月首次报告该安全隐患。研究人员指出,这一漏洞可被利用来获取包括个人身份信息(PII)以及用户凭据在内的敏感信息。漏洞主要影响ServiceNow中的记录计数UI组件,这个元素在列表页面中显示数据条目数量。攻击者可以利用返回的条目数推断数据库中隐藏的数据量,进而通过反复查询逐步揭示敏感内容。值得关注的是,漏洞范围极其广泛,几乎所有含有ACL规则且第一二权限条件为空或宽松的表格都有暴露风险,理论上成百上千张表格可能遭受威胁。造成该安全缺陷的核心机制在于四种ACL条件的评估顺序依次为角色权限、安全属性、数据条件和脚本条件。
只有全部条件通过时,用户才能访问指定资源。当存在数据条件或脚本条件限制访问时,系统会提示“Number of rows removed from this list by Security constraints”的信息,而依赖角色权限或安全属性条件时,则会显示“Security constraints prevent access to the requested page”的空白页提示。正是根据两种不同的错误响应信息,攻击者能够判断访问原因并智能调整查询策略,绕过访问限制完成信息推断。网络安全专家Neta Armon指出,漏洞简单易利用,不需要高级权限,甚至注册匿名用户即可展开攻击。利用该漏洞,攻击者还可以结合服务平台特有的点跳技术(dot-walking),通过访问相关引用表,进一步扩大信息泄露的范围。此外,巧妙的自注册功能被证明可能被滥用,用于在无管理员审批的情况下创建用户账户,导致安全防线的全面瓦解。
面对上述严峻威胁,ServiceNow紧急推出多项安全机制应对。新推的Query ACLs、Security Data Filters和Deny-Unless ACLs成为防范数据推断攻击的有效盾牌。其中Query ACLs设置将逐步改为默认拒绝策略,鼓励管理员针对合法访问场景进行细化配置,保障业务连续性和安全兼顾。虽然至今无证据表明该漏洞已在野外被实际攻击利用,但专家一致建议所有客户立刻审查并强化敏感表的访问规则。此外,针对威胁的防御还包含严格限制匿名和弱权限账户的权限范围,定期检查和调整ACL策略避免潜在弱点。信息安全管理者应当充分理解和利用ServiceNow提供的新功能,结合安全审计和监控工具,实现持续防护和及时响应。
对于服务平台运维团队,及时下载并部署官方安全补丁和升级版本,确保所有实例符合最新安全标准,是减少风险的关键步骤。企业还应加强内部安全培训,提高员工对ACL配置重要性的认识,减少因管理疏忽而埋下的安全隐患。同时,采用多因素认证、细粒度权限分配等安全策略,是提升整体防御能力的有效手段。综上所述,CVE-2025-3648漏洞充分反映了访问控制列表配置的重要性,以及细节疏漏对信息安全的巨大影响。在云计算和数字化服务越来越普及的背景下,安全配置需成为系统设计和运维的核心组成部分。通过正确认识并应对该漏洞,企业不仅能避免数据泄露造成的直接损失,更能提升整体安全防护水平,为用户和合作伙伴构建更可靠的信任基础。
面对未来日益复杂的安全挑战,持续监测漏洞动态,快速响应最新威胁,加强安全自动化和智能化投入,将成为保障ServiceNow环境安全的必由之路。
