Preocupante vulnerabilidad de seguridad en ServiceNow podría permitir a los hackers robar datos de tablas privadas.
Controles de acceso defectuosos podrían permitir el acceso no autorizado a los datos de las tablas de ServiceNow.
Un fallo en las listas de control de acceso (ACL) de ServiceNow ha generado preocupaciones entre los expertos en seguridad, quienes advierten que este defecto podría permitir a los atacantes extraer datos sensibles de las tablas de otros usuarios sin que estos lo detecten. Este fallo, identificado como CVE-2025-3648 y calificado con una gravedad de 8.2 sobre 10, ha sido denominado "Count(er) Strike" por el equipo de investigadores de seguridad de Varonis.
La vulnerabilidad proviene de ACL defectuosas, que son utilizadas para restringir el acceso a datos en las tablas. Cada ACL evalúa cuatro condiciones al decidir si un usuario debería acceder a ciertos recursos. Para obtener acceso, es necesario que todas las condiciones sean cumplidas; sin embargo, si un recurso es protegido por múltiples ACL, el sistema puede revertir a una condición anterior de "permitir si", lo que significa que si un usuario cumple solo con una de las ACL, podría obtener acceso (en ocasiones total) al recurso.
Varonis explica que cada recurso o tabla en ServiceNow puede tener varias ACL, cada una definiendo distintas condiciones de acceso. Si un usuario cumple con al menos una de las ACL, se le concede acceso al recurso, incluso si otras ACL no lo permitirían. En caso de que no haya ninguna ACL para un recurso, el acceso se regirá por la propiedad de acceso predeterminada, que generalmente es denegada.
Afortunadamente, este problema ha sido resuelto, ya que ServiceNow ha implementado nuevas características, entre las que se incluye una ACL de “Denegar a menos que”, que requiere que los usuarios cumplan con todas las ACL antes de obtener acceso. Se recomienda a todos los usuarios de ServiceNow que revisen manualmente sus tablas y modifiquen las ACL para asegurarse de que no sean demasiado permisivas.
ServiceNow es una plataforma basada en la nube que asistencia a las organizaciones a automatizar y gestionar servicios de TI, flujos de trabajo y procesos comerciales, y cuenta con más de 8,400 empresas en su cartera, incluidas la mayoría de las empresas del Fortune 500.
