el más reciente

― Advertisement ―

Relacionada

Silver Fox amplía los ataques de Winos 4.0 a Japón y...

Los actores de amenazas detrás de una comunidad de malware conocida como Winos 4.0 (todavía conocido como ValleyRAT) han ampliado su resonancia desde China...
spot_img
HomeTecnologíaServiceNow Flaw CVE-2025-3648 podría conducir a la exposición de datos a través...

ServiceNow Flaw CVE-2025-3648 podría conducir a la exposición de datos a través de ACL mal configurado

Se ha revelado una rotura de seguridad de incorporación severidad en la plataforma de ServiceNow que, si se explotan con éxito, podría dar emplazamiento a la exposición y exfiltración de datos.

La vulnerabilidad, rastreada como CVE-2025-3648 (puntaje CVSS: 8.2), se ha descrito como un caso de inferencia de datos en la plataforma ahora a través de reglas de la inventario de control de acercamiento condicional (ACL). Ha sido afamado en código Contar (s) ataque.

“Se ha identificado una vulnerabilidad en la plataforma ahora que podría resultar en que los datos se infieran sin autorización”, dijo ServiceNow en un boletín. “Bajo ciertas configuraciones de la Relación de control de acercamiento condicional (ACL), esta vulnerabilidad podría permitir a los usuarios no autenticados y autenticados para usar solicitudes de consulta de rango para inferir datos de instancias que no se pretende ser accesibles para ellos”.

La compañía de ciberseguridad Varonis, que descubrió e informó la rotura en febrero de 2024, dijo que los actores maliciosos podrían ocurrir explotado para obtener acercamiento no calificado a información confidencial, incluida la información de identificación personal (PII) y las credenciales.

En esencia, la deficiencia impacta el hábitat UI de recuento de registros en las páginas de la inventario, que podrían maltratar trivialmente para inferir y exponer datos confidenciales de varias tablas internamente de ServiceNow.

“Esta vulnerabilidad podría ocurrir afectado potencialmente a todas las instancias de ServiceNow, afectando a cientos de tablas”, dijo el investigador de Varonis Neta Armon en un examen del miércoles.

“Lo más preocupante, esta vulnerabilidad fue relativamente simple de explotar y solo requería un acercamiento minúsculo de tabla, como una cuenta de becario débil internamente de la instancia o incluso un becario desconocido autorregistrado, lo que podría evitar la requisito de elevación de privilegios y provocar una exposición de datos confidenciales”.

Específicamente, la compañía descubrió que el acercamiento a las tablas ServiceNow, aunque se rige por las configuraciones de ACL, podría estilarse para obtener información, incluso en escenarios en los que se niega el acercamiento oportuno a una “condición de datos” fallida o “condición de script”, lo que permite proporcionar acercamiento condicionalmente basado en una evaluación de ciertos criterios relacionados con datos o deducción personalizada.

Leer  Kimsuky, norcoreano, usa malware forCecopy para robar credenciales al navegador.

En estos casos, los usuarios se muestran un mensaje, indicando “número de filas eliminadas de esta inventario por restricciones de seguridad” adjunto con el recuento. Sin requisa, cuando el acercamiento a un memorial se bloquea oportuno a “roles requeridos” o “condición de atributo de seguridad”, los usuarios se muestran una página en blanco con el mensaje “Las restricciones de seguridad impiden el acercamiento a la página solicitada”.

Vale la pena mencionar que las cuatro condiciones de ACL se evalúan en un orden particular, comenzando con roles, seguidos de atributos de seguridad, condición de datos y, por postrer, condición de script. Para que un becario obtenga acercamiento a un memorial, todas estas condiciones deben estar satisfechas. Cualquier condición que quede vacía se considera que no tiene ningún tipo de restricción.

El hecho de que las respuestas sean diferentes en función de las cuatro condiciones de ACL abre una nueva vía de ataque que un actor de amenaza puede explotar para determinar qué condiciones de acercamiento no están satisfechas, y luego consultar repetidamente la tabla de la pulvínulo de datos para enumerar la información deseada utilizando una combinación de parámetros de consulta y filtros. Las tablas protegidas solo por una condición de datos o script son susceptibles al ataque de inferencia.

“Cualquier becario en una instancia puede explotar esta vulnerabilidad, incluso aquellos con privilegios mínimos y sin roles asignados, siempre que tengan acercamiento a al menos una mesa mal configurada”, dijo Armon. “Esta vulnerabilidad se aplica a cualquier tabla en la instancia con al menos una regla de ACL donde las dos primeras condiciones se dejan vacías o son demasiado permisivas, una situación popular”.

Para empeorar las cosas, un actor de amenaza podría expandir el radiodifusión de acceso del defecto utilizando técnicas como caminar de puntos y autorregistro para alcanzar a datos adicionales de tablas referenciadas, crear cuentas y obtener acercamiento a una instancia sin requerir la aprobación previa de un administrador.

Leer  El paquete PYPI malicioso se posa como el código fuente de Solana Tool Stole en 761 Descargas

ServiceNow, en respuesta a los hallazgos, ha introducido nuevos mecanismos de seguridad, como ACL de consulta, filtros de datos de seguridad y ACL a menos de Degley, para contrarrestar el aventura que plantea el ataque de consulta a ciegas de inferencia de datos. Si perfectamente no hay evidencia de que el problema haya sido explotado en la naturaleza, se insta a todos los clientes de ServiceNow a aplicar las barandillas necesarias en las tablas sensibles.

“Los clientes de ServiceNow igualmente deben tener en cuenta que las ACL de consulta de consultas pronto se establecerán para desmentir predeterminada, por lo que deben crear exclusiones para apoyar la capacidad autorizada del becario para realizar tales acciones”, dijo Armon.

DLL secuestro de defectos en el software de menú rápido de TrackPoint de Lenovo

El mejora se produce cuando TrustedSec detalló una rotura de subida de privilegios (CVE-2025-1729) en el software de menú rápido de TrackPoint (“TPQMassistant.exe”) presente en las computadoras Lenovo que podrían permitir que un atacante regional se vaya a los privilegios de los privilegios de la subida mediante una vulnerabilidad que se acelere.

El defecto se ha abordado en la traducción 1.12.54.0 resuelto el 8 de julio de 2025, luego de la divulgación responsable a principios de enero.

“El directorio Housing ‘tpqMassistant.exe’ es escritura por usuarios unificado, que ya es una bandera roja”, dijo el investigador de seguridad Oddvar Moe. “El permiso de la carpeta permite al propietario del creador escribir archivos, lo que significa que cualquier becario regional puede soltar archivos en esta ubicación”.

“Cuando se activa la tarea programada (o el binario en sí), intenta cargar ‘hostfxr.dll’ desde su directorio de trabajo pero rotura, lo que resulta en un evento no antitético.

Leer  Decryptor de ransomware de funksec lanzado de forma gratuita a Public después de que el grupo quede inactivo

Como resultado, un atacante puede colocar una traducción maliciosa de ‘hostfxr.dll’ en el directorio “C: ProgramDatallenovoltpqm Assistant” para secuestrar el flujo de control cuando se lanceta el binario, lo que resulta en la ejecución de código injustificado.

Microsoft se dirige a Kerberos Dos Bug

Los hallazgos igualmente siguen la divulgación pública de una rotura de recital fuera de los límites en el protocolo Netlogon de Windows Kerberos (CVE-2025-47978, CVSS Puntuación: 6.5) que podría permitir a un atacante calificado desmentir el servicio a través de una red. Microsoft abordó la vulnerabilidad como parte de sus actualizaciones de martes de parche para julio de 2025.

Silverfort, que ha asignado el nombre Notlogon Para CVE-2025-47978, dijo que permite cualquier “máquina unida por dominio con privilegios mínimos para expedir una solicitud de autenticación especialmente elaborada que bloqueará un compensador de dominio y causará un reinicio completo”.

“Esta vulnerabilidad no requiere privilegios elevados: solo se necesitan acercamiento unificado de la red y se necesita una cuenta de máquina débil. En entornos empresariales típicos, cualquier becario privilegiado puede crear tales cuentas por defecto”, dijo el investigador de seguridad DOR Segal.

La compañía de ciberseguridad igualmente señaló que el separación afectó principalmente al Servicio del Subsistema de la Autoridad de Seguridad Tópico (LSASS), un proceso de seguridad crítico en Windows responsable de hacer cumplir las políticas de seguridad y manejar la autenticación de los usuarios. Por lo tanto, la explotación exitosa de CVE-2025-47978 podría desestabilizar o interrumpir los servicios de Active Directory.

“Con solo una cuenta de máquina válida y un mensaje RPC diseñado, un atacante puede aislar de forma remota un compensador de dominio, un sistema responsable de las funcionalidades centrales de Active Directory, incluida la autenticación, la autorización, la aplicación de políticas grupales y la emanación de boletos de servicio”, dijo Segal.

El más popular

spot_img