ServiceNow Güvenlik Açığı: CVE-2025-3648
Son dönemde ServiceNow platformunda tespit edilen bir güvenlik açığı, büyük bir tehlike oluşturuyor. CVE-2025-3648 olarak adlandırılan bu açık, potansiyel olarak verilerin yetkisiz bir şekilde açığa çıkmasına ve kötü niyetli kişilerin hassas bilgilere erişmesine yol açabilir. Cybersecurity şirketi Varonis, bu açığı Şubat 2024’te keşfettikten sonra durumu kamuya duyurdu.
CVE-2025-3648 açıklarının temel özelliği, Now Platform üzerindeki veri çıkarımı yapabilme yeteneğidir. Açık, özellikle belirli Conditional Access Control List (ACL) yapılandırmaları altında, kullanılan range query istekleri aracılığıyla yetkisiz erişim sağlıyor. Böylece kullanıcılar, yalnızca kendilerine açık olmayan verilere ulaşabiliyor.
Vulnerabilite ve Potansiyel Etkileri
Varonis araştırmacısı Neta Armon, bu açığın ServiceNow’un yüzlerce tablosunu etkileyebileceğini belirtti. Yalnızca güçsüz bir kullanıcı hesabı ile bile, bu açık istismar edilebilir. Kötü niyetli kişiler, yetkilendirme gerektirmeden, yalnızca bir yetersiz yapılandırılmış tabloya erişim sağlayarak önemli verilere ulaşabilirler.
Güvenlik açığının en çarpıcı yönü, ACL yapılandırmalarının ne şekilde değerlendirildiğidir. Dört temel koşul, belli bir sıra ile değerlendirilirken, herhangi bir koşulun boş bırakılması, o koşul üzerinde herhangi bir kısıtlama olmadığı anlamına gelir. Bu durum, saldırganların hangi koşulların sağlanmadığını belirleyip, buna göre veri tabanını sorgulamasına olanak tanır.
Açığın Saldırı Yöntemleri
Saldırganlar, tablolar üzerindeki belirli koşulara bağlı kalarak, veri açığa çıkarma girişimlerinde bulunabiliyor. Eğer bir kullanıcı bir tabloya erişim sağlayamıyorsa, genellikle “Güvenlik kısıtlamaları nedeniyle bu sayfaya erişim engellendi” mesajı alır. Ancak, bu durum inferans saldırılarına karşı bir savunma mekanizması olmadığı anlamına geliyor. Yalnızca data condition veya script condition ile korunan tablolar, bu tür saldırılara daha açık hale geliyor.
Armon, “Bu güvenlik açığından faydalanabilen herhangi bir kullanıcı, hatta üzerinde yetki tanımlı olmayan bir kullanıcı bile, en az bir yetersiz yapılandırılmış tabloya erişim sağladığı sürece bu açığı istismar edebilir,” dedi.
Yan Etkileri ve Yeni Güvenlik Önlemleri
ServiceNow, bu güvenlik açığına karşı yeni güvenlik mekanizmaları geliştirdi. Query ACL, Security Data Filters ve Deny-Unless ACL gibi özellikler, veri çıkarımı saldırılarına karşı koruma sağlamayı amaçlıyor. Bu tür önlemler, kullanıcıların hassas verilere yetkisiz erişimini sınırlandırmak için tasarlandığı belirtiliyor. Ancak, güvenlik açığının kötüye kullanıldığına dair herhangi bir kanıt bulunmamakta.
Buna rağmen, ServiceNow kullanıcıları, hassas tablolar üzerindeki gerekli kısıtlamaları uygulamalıdır. Ayrıca, query range Query ACL’lerinin yakında varsayılan olarak reddedileceği bildirilmiştir. Kullanıcıların, yetkili kullanıcıların bu tür işlemleri gerçekleştirebilmesi için istisnalar oluşturması gerektiği vurgulanıyor.
Lenovo’daki DLL Hijacking Açığı
ServiceNow dışında, Lenovo bilgisayarlarında bulunan TPQMAssistant.exe dosyasında da bir güvenlik açığı tespit edildi. Bu açık, CVE-2025-1729 olarak adlandırılmakta ve yerel bir saldırganın yetki yükseltmesine olanak tanımakta. Bu durum, bir DLL hijacking açığı ile mümkün oluyor. Saldırganlar, sistema bağlı dosyaları kullanarak kontrol akışını ele geçirip, zararlı yazılımları çalıştırabiliyor.
Lenovo, bu açığı gidermek için 8 Temmuz 2025 tarihinde yeni bir yazılım güncellemesi yayınladı. Kullanıcıların güvenlik güncellemelerini takip etmesi büyük önem taşıyor.
Microsoft’tan Kerberos DoS Açığına Müdahale
Son olarak, Microsoft tarafından yayımlanan bir başka güvenlik açığı, Windows Kerberos protokolünde (CVE-2025-47978) tespit edildi. Bu açık, ağa bağlı bir makinenin, sadece standart ağ erişimi ve zayıf bir makine hesabı ile bir domain controller’ı çökertmesine neden olabilir.
Microsoft, bu güvenlik açığını düzenli güncelleme döngüsünde gidermeyi başardı. Tüm bu gelişmeler, kurumsal sistemlerin güvenliği için önemli birer hatırlatma niteliği taşıyor. Saldırganların, sadece bir makine hesabına sahip olması ve oluşturulan iletileri dikkatlice kullanması, kritik sistemlerin çökmesine sebep olabilecek bir zafiyet yaratıyor.
