Count(er) Strike：ServiceNowの脆弱性により、制限されたデータの列挙が可能に（CVE-2025-3648）

Count(er) Strike：ServiceNowの脆弱性により、制限されたデータの列挙が可能に（CVE-2025-3648）

BleepingComputer – July 9, 2025

ServiceNowにおける新たな脆弱性「Count(er) Strike」（CVE-2025-3648）により、低い権限のユーザーでも本来アクセス権を有していないテーブルから機微なデータを列挙可能な状態になっていたという。2025年2月にこの脆弱性を発見したVaronis Threat Labsが、7月9日公開のブログ記事で詳細や悪用方法などについて解説している。

ServiceNowは組織の業務プロセスを最適化・自動化するためのクラウドベースのプラットフォームで、公共部門の組織や医療機関、金融機関、大企業を含む多様な業界の組織に活用されている。

ServiceNowの各テーブル内のデータに対するアクセスはACL（アクセス制御リスト）で制御されており、先月に追加のアクセス制御フレームワークがリリースされる前のServiceNowでは、ACLはユーザーが以下4種類すべての条件を満たしている場合に、当該リソースへのアクセスを許可する仕組みになっていた。

• ①必要なロール
• ②セキュリティ属性
• ③データ条件
• ④スクリプト条件

上記4条件については、すべて満たされる必要がある。しかしあるリソースが複数のACLによって保護されている場合、ユーザーはそのうち1つのACLさえ満たせば当該リソースへのアクセスを取得できる状態になっていたという。このようにして付与されるアクセスはフルアクセスの場合もあったが、それ以外のケースでは、レコード数など一部の要素へのアクセスのみが付与されていた。

Varonisは上記のアクセス許可モデルを出発点に、ACLの条件①および②を満たしたユーザーは、条件③または条件④を満たせなかった場合でも、当該UIおよびソースHTML内のレコード数を確認できること、そしてセキュリティ制約により除外された結果の数も認識できることを発見。この部分的なアクセスを活かして保護されたデータを列挙可能であることを突き止めたという。

ServiceNowのリストページでは、クエリパラメータを使ってテーブルから返されるデータのフィルタリングと絞り込みを行うことができ、ユーザーはこれを使って特定の条件を満たすレコードを取得することが可能になる。Varonisは上記の部分的なアクセスがある状態で、「STARTSWITH」、「CONTAINS」、「=」、「!=」といった演算子を駆使したURLフィルターを作成し、さまざまな条件による絞り込みを行った。これにより、レコード自体へはアクセスできずとも該当するレコードの件数を知ることはできるため、毎回値やクエリを変更してこのプロセスを繰り返すことで、1度に1文字または1桁ずつデータを取得していくことができたのだという。

これをうまく悪用すれば、個人情報や認証情報、内部の構成データといった機微なデータも暴き出すことが可能になる。Varonisはこの手順を自動化するためのスクリプトを作成しており、これを使って限定的にしかアクセスできないテーブルからデータレコードを列挙することに成功している。この攻撃を受けるリスクがあるテーブルは、ACLの条件①「必要なロール」および②「セキュリティ属性」が設定されていないまたは緩すぎるもの。デフォルトでこのような設定になっているテーブルは多数あるという。

またServiceNowには、管理者の事前の承認なしでユーザーが自らアカウントを作成してインスタンスにアクセスできる自己登録機能があるが、Varonisによれば、自己登録ユーザーであっても上記の攻撃を実行可能だという。同社は、Fortune 500企業のServiceNowシステムの中にも自己登録を有効化した設定になっているものがあったと指摘している。

前述の通りServiceNowは先月、この問題に対処するためXanaduおよびYokohama版における追加のアクセス制御フレームワークをリリースしているものの、すべての管理者には既存のテーブルをレビューし、データが適切にロックダウンされているかを確認することが推奨される。なお、Varonisによればこの脆弱性が実際の攻撃で悪用されていることを示す証拠は観測されていないとのこと。