ServiceNow’daki Count(er) Strike Açığı
Son zamanlarda ServiceNow platformunda Count(er) Strike adıyla anılan yeni bir güvenlik açığı ortaya çıktı. Bu açık, düşük yetkili kullanıcıların, erişim izni olmayan tablolardan hassas verileri çekmesine olanak tanıyor. ServiceNow, dijital iş akışlarını yönetmek için birçok sektörde yaygın olarak kullanılan bulut tabanlı bir platformdur. Kamu sektöründen sağlık hizmetlerine, finansal kurumlardan büyük işletmelere kadar geniş bir yelpazede benimsenmiştir.
Açığın Tanınması ve CVE Kodu
Bu güvenlik açığı, Varonis Threat Labs tarafından Şubat 2025’te keşfedildi ve CVE-2025-3648 kimliği verildi. Açık, yanlış yapılandırılmış veya aşırı izinlere sahip Erişim Kontrol Listeleri (ACL) olan konfigürasyonlardan etkilenebilir. ServiceNow, bu sorunu ele almak için geçen ay Xanadu ve Yokohama sürümlerinde ek erişim kontrol çerçeveleri yayınladı. Ancak tüm yöneticilerin mevcut tabloları gözden geçirerek verilerini doğru bir şekilde koruma altına alması gerekmektedir.
Count(er) Strike Açığının İşleyişi
ServiceNow, veriye erişimi kısıtlamak için Erişim Kontrol Listeleri (ACL) kullanmaktadır. Her ACL, bir kullanıcının belirli bir kaynağa erişim elde edip edemeyeceğini belirlemek için dört koşulu değerlendirir:
- Gerekli roller
- Güvenlik nitelikleri
- Veri koşulları
- Script koşulları
Bir kullanıcının bir kaynağa erişim sağlaması için bu koşulların tamamının sağlanması gerekmektedir. Ancak bir kaynak birden fazla ACL ile korunuyorsa, ServiceNow daha önce “İzin ver” koşulunu kullanıyordu. Bu durumda, kullanıcı yalnızca bir ACL’yi karşılıyorsa, diğer ACL’lerin engellemesine rağmen kaynağa erişim sağlıyordu.
Bu durum bazı kullanıcıların tam erişim elde etmesine, bazılarının da kısmi erişim elde etmesine olanak tanıdı. Örneğin, kayıt sayıları gibi bilgiler, kötü niyetli bir şekilde kullanılabilir. Varonis raporunda belirtildiği üzere, “Her kaynak veya tablonun birden fazla ACL’si olabilir ve her biri erişim için farklı koşullar tanımlar.” Ancak, kullanıcı yalnızca bir ACL’yi geçtiğinde, bazı ACL’ler erişim vermese bile kaynağa ulaşabilir.
Veri Sızıntısı ve Kötüye Kullanım Senaryoları
Varonis, veri koşulu veya script koşulunu geçemeyen bir kullanıcının bile UI ve kaynak HTML’de kayıt sayısının gösterildiğini keşfetti. Sayfanın, bazı sonuçların güvenlik kısıtlamaları nedeniyle gizlendiğini belirttiğini fark etti. Bu eşik verisi, kötü niyetli kullanıcıların URL tabanlı filtrelemeler kullanarak, STARTSWITH, CONTAINS, =, ve != gibi sorguları manipüle ederek kayıt içeriğini tek karakter veya şart bazında sıralamasına olanak tanır.
Örnek URL:
https://[my_company].service-now.com/task_list.do?sysparm_query=short_descriptionSTARTSWITHp
Farklı değerlerle bu işlemi tekrarlamak, veri çekimini kolaylaştırır. Varonis, bu işlemi otomatikleştiren bir script oluşturdu ve sınırlı erişime sahip oldukları bir tablodan veri kayıtlarını başarılı bir şekilde sıraladı.
Saldırının Önlenmesi
Varonis, bu saldırıyı ServiceNow’un ITSM ürünü üzerinde test etse de, bu açığın aynı ACL mantığını kullanan tüm ServiceNow ürünlerini etkileyebileceğini belirtti. ServiceNow, bu saldırıyı önlemek için şu adımları atmıştır:
- Deny Unless ACL’leri tanıtıldı, bu da kullanıcıların bir veri kümesine erişim sağlamaları için tüm ACL’leri geçmelerini zorunlu kılar.
- Sorgu ACL’leri eklendi ve bu tür sıralama sorgularını kısıtladı.
- Güvenlik Veri Filtreleri önerildi; bu filtreler kayıt sayılarını gizleyerek detaylı bilgi sızıntılarını engelliyor.
Ancak müşterilerin, tablolarını manuel olarak gözden geçirmeye ve ACL’lerini aşırı izin veren biçimde değiştirmemeye dikkat etmeleri gerekmektedir. Varonis, bu açığın henüz kötü niyetli bir şekilde kullanıldığına dair herhangi bir kanıt görmediğini belirtti.
Sonuç
ServiceNow platformunda ortaya çıkan Count(er) Strike açığı, özellikle düşük yetkili kullanıcılar için büyük bir risk oluşturmaktadır. Bu tür güvenlik açıklarının farkında olmak ve önleyici tedbirler almak, organizasyonlar için hayati bir öneme sahiptir. Reconnaissance aşaması ve potansiyel sızıntılar, dikkatli bir yönetim ve ACL yapılandırması ile minimize edilebilir. Veri güvenliği, organizasyonların itibarını korumak ve geçerli yasalara uyum sağlamak adına çok önemlidir.
