Grave vulnerabilidad en ServiceNow permite filtrado de datos por fallos en las ACLs condicionales
Introducción
En las últimas horas, se ha dado a conocer una vulnerabilidad crítica que afecta a la popular plataforma Now Platform de ServiceNow, ampliamente utilizada por organizaciones para la gestión de servicios empresariales, flujos de trabajo y automatización de procesos IT. La vulnerabilidad, identificada como CVE-2025-3648 y apodada Count(er) Strike, ha recibido un puntaje CVSS de 8,2, situándola como una amenaza de alta severidad. El fallo reside en la implementación de las reglas de listas de control de acceso (ACL) condicionales, permitiendo a un atacante inferir o extraer información sensible, incluso sin permisos explícitos de acceso.
Contexto del Incidente
ServiceNow es una de las plataformas SaaS líderes en la gestión de ITSM, GRC y operaciones empresariales, contando con miles de clientes globales, incluidos organismos gubernamentales y grandes multinacionales. Cualquier vulnerabilidad que afecte a su núcleo tiene un impacto potencialmente masivo, exponiendo integridad, confidencialidad y disponibilidad de información crítica. El fallo descubierto afecta a la lógica de control de acceso que regula el acceso granular a los datos dentro de las aplicaciones y módulos del ecosistema Now Platform, permitiendo a usuarios autenticados, pero con permisos restringidos, inferir o extraer registros protegidos.
Detalles Técnicos
La vulnerabilidad CVE-2025-3648 afecta a las ACLs condicionales, un mecanismo fundamental en ServiceNow para restringir el acceso a datos y operaciones según condiciones predefinidas. El fallo se origina en el procesamiento incorrecto de ciertas reglas condicionales de las ACLs, lo que habilita ataques de inferencia de datos («data inference») y filtrado a través de técnicas de manipulación de peticiones.
– **CVE:** CVE-2025-3648
– **CVSS v3.1:** 8,2 (Alta)
– **Vectores de ataque:**
– Manipulación de solicitudes API (REST/SOAP)
– Enumeración iterativa de recursos protegidos
– Uso de operadores condicionales para eludir restricciones
– **TTPs MITRE ATT&CK relevantes:**
– T1087 (Account Discovery)
– T1213 (Data from Information Repositories)
– T1005 (Data from Local System)
– **Indicadores de Compromiso (IoC):**
– Peticiones repetidas a endpoints de ServiceNow con parámetros modificados
– Consultas anómalas en logs de acceso a tablas y registros protegidos
– Uso de herramientas automatizadas para scraping de datos (ej. scripts Python, Postman, Burp Suite)
La explotación puede realizarse mediante scripts personalizados o frameworks como Metasploit, aunque aún no se han publicado exploits públicos. Sin embargo, debido a la naturaleza de la vulnerabilidad, la explotación puede ser trivial para un atacante experimentado que tenga acceso de usuario legítimo pero limitado.
Impacto y Riesgos
El principal riesgo radica en la posible exposición y exfiltración de datos sensibles almacenados en entornos ServiceNow, tales como información personal identificable (PII), datos de clientes, credenciales, configuraciones de infraestructura IT y registros de auditoría. Según estimaciones iniciales, hasta el 80% de las instancias de ServiceNow configuradas con ACLs condicionales personalizadas podrían estar potencialmente expuestas si no han aplicado las actualizaciones pertinentes.
El impacto económico puede ser considerable: violaciones de GDPR pueden acarrear sanciones de hasta el 4% de la facturación anual global de la organización afectada. Además, la reputación de la empresa puede verse severamente dañada, especialmente en sectores regulados como banca, sanidad y administración pública.
Medidas de Mitigación y Recomendaciones
ServiceNow ha publicado parches de seguridad que corrigen el tratamiento defectuoso de las ACLs condicionales. Se recomienda encarecidamente:
1. **Aplicar inmediatamente las actualizaciones** proporcionadas por ServiceNow a todas las instancias afectadas.
2. **Revisar y auditar las reglas de ACL personalizadas**, eliminando condiciones ambiguas o excesivamente permisivas.
3. **Monitorizar logs de acceso y actividad** para detectar posibles intentos de explotación o exfiltración.
4. **Implementar medidas de detección en el SIEM** para identificar patrones anómalos de acceso a datos.
5. **Formar a los administradores y desarrolladores** sobre riesgos asociados a la implementación de ACLs condicionales.
Opinión de Expertos
Especialistas en ciberseguridad subrayan la importancia de la seguridad en la capa de acceso en plataformas SaaS críticas como ServiceNow. “Las reglas condicionales, si no se gestionan adecuadamente, abren la puerta a ataques de inferencia de datos que son difíciles de detectar y pueden pasar inadvertidos durante largos periodos”, señala un analista principal de un SOC internacional. Además, expertos insisten en que “la automatización de la gestión de identidades y el empleo de Zero Trust son esenciales para limitar el impacto de vulnerabilidades de este tipo”.
Implicaciones para Empresas y Usuarios
Las organizaciones deben considerar este incidente como un aviso sobre la importancia de la seguridad en la configuración de plataformas SaaS. La tendencia hacia la personalización extensiva de permisos y reglas de acceso aumenta la superficie de ataque, obligando a revisar con frecuencia las configuraciones y a adoptar frameworks de seguridad robustos como NIST CSF o ISO/IEC 27001.
Para los usuarios finales, aunque el riesgo directo es menor, la exposición de datos personales o profesionales puede tener consecuencias graves en términos de privacidad y cumplimiento normativo. La transparencia por parte de los departamentos de IT y la comunicación temprana en caso de incidentes son fundamentales para mantener la confianza de clientes y empleados.
Conclusiones
La vulnerabilidad CVE-2025-3648 en ServiceNow refleja los riesgos inherentes a la gestión incorrecta de controles de acceso en entornos SaaS críticos. La pronta reacción mediante parches y una revisión exhaustiva de las configuraciones de seguridad son esenciales para mitigar amenazas similares en el futuro. Este caso refuerza la necesidad de un enfoque proactivo y continuo en la gestión de la ciberseguridad, especialmente ante las crecientes exigencias regulatorias como el GDPR, NIS2 y estándares internacionales.
(Fuente: feeds.feedburner.com)