AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

Grave vulnerabilidad en ServiceNow AI Platform permite suplantación de usuarios sin autenticación

admin

Introducción

ServiceNow, uno de los principales proveedores de plataformas de automatización y servicios en la nube para grandes empresas, ha revelado recientemente la existencia de una grave vulnerabilidad de seguridad en su plataforma de inteligencia artificial (AI Platform). Esta vulnerabilidad, ya solucionada, permitía a actores no autenticados suplantar a cualquier usuario legítimo y ejecutar acciones arbitrarias en su nombre. El fallo, identificado como CVE-2025-12420 y bautizado como “BodySnatcher” por la firma de seguridad AppOmni, pone en el punto de mira la importancia de la seguridad en entornos SaaS críticos y en la adopción de soluciones basadas en IA.

Contexto del Incidente

ServiceNow AI Platform es utilizada globalmente para automatizar flujos de trabajo empresariales, gestionar solicitudes y ofrecer capacidades avanzadas de autoservicio, todo ello apoyado por componentes de inteligencia artificial. La plataforma es clave en sectores como banca, telecomunicaciones, administración pública y sanidad, donde la integridad y confidencialidad de los procesos son esenciales. El descubrimiento de una vulnerabilidad que permite la suplantación de identidad sin autenticación supone un riesgo elevado, dada la criticidad de la información y operaciones gestionadas en estos entornos.

Detalles Técnicos

La vulnerabilidad CVE-2025-12420 presenta una puntuación CVSS de 9,3 sobre 10, situándola en la categoría de criticidad más alta. De acuerdo con la información publicada, el fallo reside en el mecanismo de procesamiento de peticiones HTTP de la AI Platform de ServiceNow, concretamente en la validación insuficiente de los datos enviados en el cuerpo de las solicitudes (“body” en terminología HTTP).

Exploit y vectores de ataque:
– Un atacante puede enviar peticiones especialmente manipuladas a determinados endpoints de la API expuesta por la plataforma.
– No se requiere autenticación previa, lo que multiplica el riesgo al eliminar cualquier barrera inicial de acceso.
– El exploit permite inyectar la identidad de cualquier usuario legítimo al sobrescribir los atributos de autenticación en el cuerpo de la petición.
– Como TTPs (Tácticas, Técnicas y Procedimientos) en el marco MITRE ATT&CK, este ataque se relaciona con:
– TA0001 (Initial Access)
– T1078 (Valid Accounts)
– T1190 (Exploit Public-Facing Application)
– Indicadores de Compromiso (IoC): peticiones HTTP con cuerpos atípicos, uso de cuentas privilegiadas sin correlación con la actividad habitual, logs de acciones administrativas fuera de horario o desde ubicaciones inusuales.

Aunque no se han hecho públicos exploits funcionales, se ha confirmado que frameworks como Metasploit podrían incorporar módulos para automatizar el ataque, dada la sencillez del vector y la criticidad de las funciones expuestas.

Impacto y Riesgos

El impacto potencial de BodySnatcher es significativo:
– Acceso total a las funciones y datos del usuario suplantado, incluyendo información confidencial, secretos de negocio y credenciales.
– Ejecución de acciones administrativas, escalado de privilegios, alteración de flujos de trabajo y manipulación de auditorías.
– Riesgo de cumplimiento normativo: la exposición de datos personales bajo GDPR, NIS2 y otras regulaciones puede acarrear sanciones económicas de hasta el 4% de la facturación anual global.
– Se estima que aproximadamente el 30% de los clientes de ServiceNow utilizan la AI Platform afectada, lo que podría traducirse en miles de organizaciones vulnerables antes del parche.

Medidas de Mitigación y Recomendaciones

ServiceNow ya ha distribuido actualizaciones para corregir la vulnerabilidad en todas las versiones afectadas. Las recomendaciones técnicas incluyen:
– Actualizar inmediatamente a la última versión parcheada de la AI Platform.
– Monitorizar logs en busca de accesos inusuales o peticiones anómalas en endpoints críticos.
– Configurar alertas en SIEM/SOC para detectar patrones de abuso sobre la API.
– Implementar autenticación multifactor y restringir el acceso por IP a interfaces administrativas.
– Revisar integraciones y tokens API, revocando aquellos que puedan haber sido comprometidos.
– Realizar auditorías de cuentas privilegiadas y su actividad reciente.

Opinión de Expertos

Varios analistas del sector, incluyendo a AppOmni, subrayan la importancia de las pruebas de seguridad continuas en plataformas SaaS y la necesidad de aplicar modelos de Zero Trust. “La tendencia hacia la automatización y la IA en procesos críticos requiere redoblar controles de autenticación y segregación de funciones, incluso en entornos ya auditados”, recalca un CISO de una multinacional bancaria.

Implicaciones para Empresas y Usuarios

La explotación de BodySnatcher podría haber permitido a actores maliciosos acceder a información confidencial, manipular procesos críticos o sabotear operaciones empresariales. Para los responsables de seguridad, el incidente refuerza la importancia de la vigilancia continua, la rápida aplicación de parches y la segmentación de accesos en plataformas SaaS. Las auditorías regulares y la formación en seguridad para usuarios y administradores se consolidan como mejores prácticas imprescindibles.

Conclusiones

El descubrimiento y solución de la vulnerabilidad CVE-2025-12420 en ServiceNow AI Platform refuerza la necesidad de una aproximación proactiva a la seguridad en entornos SaaS y cloud. La criticidad del fallo y su potencial de abuso subrayan la importancia de la actualización inmediata y la vigilancia activa. Con la creciente sofisticación de los ataques y la adopción masiva de inteligencia artificial, la seguridad debe ser un componente central en el ciclo de vida de cualquier plataforma digital empresarial.

(Fuente: feeds.feedburner.com)