Lỗ Hổng Nghiêm Trọng Count(er) Strike trong ServiceNow
Các nhà nghiên cứu bảo mật đã phát hiện một lỗ hổng nghiêm trọng trong nền tảng doanh nghiệp ServiceNow được sử dụng rộng rãi, có khả năng cho phép những kẻ tấn công trích xuất dữ liệu nhạy cảm bao gồm thông tin nhận dạng cá nhân (PII), thông tin xác thực và hồ sơ tài chính. Lỗ hổng này, được Varonis Threat Labs đặt tên là “Count(er) Strike”, ảnh hưởng đến các phiên bản ServiceNow được sử dụng bởi 85% các công ty trong danh sách Fortune 500. Lỗ hổng đã được gán mã CVE-2025-3648 với mức độ nghiêm trọng cao.
Lỗ hổng Count(er) Strike khai thác một điểm yếu cơ bản trong yếu tố giao diện người dùng hiển thị số lượng bản ghi (record count UI element) trên các trang danh sách của ServiceNow. Điều này cho phép những kẻ tấn công sử dụng các kỹ thuật liệt kê (enumeration) và bộ lọc truy vấn (query filters) để suy luận và làm lộ dữ liệu nhạy cảm từ các bảng cơ sở dữ liệu khác nhau. Cuộc tấn công chỉ yêu cầu đặc quyền truy cập tối thiểu, khiến nó trở nên đặc biệt nguy hiểm vì có thể được thực hiện bởi những người dùng có quyền truy cập bảng cơ bản hoặc thậm chí các tài khoản ẩn danh tự đăng ký.
Cơ Chế Khai Thác Kỹ Thuật của Count(er) Strike
Kỹ thuật khai thác lỗ hổng Count(er) Strike dựa trên khả năng của kẻ tấn công trong việc thu thập thông tin gián tiếp thông qua phản hồi của hệ thống về số lượng bản ghi.
Khai Thác Thông Qua Đếm Bản Ghi và Lọc Truy Vấn
Các nhà nghiên cứu đã chứng minh cách những kẻ tấn công có thể trích xuất có hệ thống toàn bộ nội dung cơ sở dữ liệu bằng cách thao túng các tham số truy vấn và quan sát sự thay đổi trong số lượng bản ghi được hiển thị. Khi một truy vấn được thực hiện trên một trang danh sách, ServiceNow trả về tổng số bản ghi phù hợp với truy vấn đó. Bằng cách thêm các điều kiện lọc vào truy vấn (ví dụ: tìm kiếm các ký tự cụ thể trong một trường dữ liệu), kẻ tấn công có thể xác định liệu một ký tự hoặc một chuỗi dữ liệu có tồn tại trong một trường cụ thể hay không dựa trên sự thay đổi của số lượng bản ghi.
Ví dụ, nếu một truy vấn ban đầu trả về 100 bản ghi, và sau khi thêm điều kiện `name CONTAINS ‘A’`, số lượng bản ghi giảm xuống 50, kẻ tấn công biết rằng có 50 bản ghi mà trường tên chứa ký tự ‘A’. Bằng cách lặp lại quy trình này với từng ký tự hoặc chuỗi con, kẻ tấn công có thể dần dần tái tạo lại dữ liệu đầy đủ.
Điểm Yếu Trong Triển Khai Access Control List (ACL) của ServiceNow
Cuộc tấn công lợi dụng những điểm yếu trong việc triển khai Access Control List (ACL) của ServiceNow. Khi người dùng không có quyền truy cập dựa trên vai trò (role-based access) thích hợp, nền tảng sẽ hiển thị các phản hồi khác nhau tùy thuộc vào điều kiện ACL nào không được đáp ứng.
Điều quan trọng là, nếu quyền truy cập bị từ chối do các điều kiện liên quan đến dữ liệu (data conditions) chứ không phải do các hạn chế về vai trò (role restrictions), hệ thống vẫn tiết lộ tổng số lượng bản ghi. Đây chính là thông tin mà những kẻ tấn công có thể khai thác thông qua quá trình liệt kê có hệ thống. Thông thường, một hệ thống bảo mật chặt chẽ sẽ không tiết lộ bất kỳ thông tin nào về dữ liệu nếu người dùng không có quyền truy cập đầy đủ. Tuy nhiên, trong trường hợp này, thông tin về số lượng bản ghi vẫn bị rò rỉ, tạo điều kiện cho các cuộc tấn công side-channel.
Tự Động Hóa Khai Thác và Các Yếu Tố Tăng Cường
Những kẻ tấn công có thể tự động hóa quá trình này bằng cách sử dụng các script đơn giản để trích xuất dữ liệu từng ký tự một thông qua thao tác tham số truy vấn. Điều này cho phép thực hiện các cuộc tấn công khai thác dữ liệu quy mô lớn một cách hiệu quả.
Lỗ hổng này còn được khuếch đại bởi tính năng “dot-walking” của ServiceNow, cho phép truy cập dữ liệu bảng liên quan thông qua các trường tham chiếu. Tính năng này cho phép kẻ tấn công điều hướng và truy cập sâu hơn vào cấu trúc cơ sở dữ liệu, khám phá các mối quan hệ giữa các bảng và tiềm năng trích xuất dữ liệu từ nhiều nguồn liên quan hơn. Ngoài ra, khả năng tự đăng ký tùy chọn của ServiceNow (optional self-registration capabilities) có thể cung cấp quyền truy cập nền tảng cho người dùng ẩn danh, mở rộng bề mặt tấn công.
Lỗ hổng này ảnh hưởng đến nhiều giải pháp ServiceNow bao gồm IT Service Management (ITSM), Customer Service Management (CSM), Human Resources Service Delivery (HRSD) và các mô-đun Governance, Risk, and Compliance (GRC).
Các Giải Pháp Khắc Phục và Khuyến Nghị
Sau khi lỗ hổng được công bố, ServiceNow đã triển khai một số cơ chế bảo mật mới nhằm giảm thiểu rủi ro từ các cuộc tấn công tương tự.
Cơ Chế Bảo Mật Mới của ServiceNow
ServiceNow đã giới thiệu hai cơ chế bảo mật chính để đối phó với lỗ hổng này: Query ACLs và Security Data Filters.
* Query ACLs: Cung cấp quyền kiểm soát truy cập chi tiết bằng cách định nghĩa rõ ràng ai có thể truy vấn dữ liệu. Cơ chế này hoạt động như một lớp phòng thủ chống lại các cuộc tấn công truy vấn mù (blind query attacks) bằng cách kiểm soát quyền truy cập ở cấp độ truy vấn, đảm bảo rằng ngay cả khi một người dùng có thể xây dựng một truy vấn, họ vẫn không thể thực thi nó nếu không có quyền cần thiết.
* Security Data Filters: Hạn chế quyền truy cập bản ghi dựa trên vai trò hoặc các khẳng định thuộc tính bảo mật. Các bộ lọc này áp dụng thêm một lớp lọc để loại bỏ các kết quả trái phép trước khi chúng được hiển thị cho người dùng, đảm bảo rằng chỉ dữ liệu mà người dùng được phép xem mới được trả về.
Hướng Dẫn Triển Khai Cho Khách Hàng
ServiceNow khuyến nghị mạnh mẽ khách hàng ngay lập tức rà soát cấu hình bảng tùy chỉnh và bảng tiêu chuẩn của họ, đồng thời triển khai các cơ chế bảo mật mới.
Các tổ chức nên thực hiện các bước sau:
* Xác thực cấu hình ACL: Kiểm tra kỹ lưỡng cấu hình ACL cho tất cả các bảng, đặc biệt là những bảng có yêu cầu về vai trò trống hoặc quá dễ dãi. Đảm bảo rằng các ACL được định cấu hình đúng cách để chỉ cho phép quyền truy cập dữ liệu cần thiết theo nguyên tắc đặc quyền tối thiểu.
* Triển khai Query ACLs: Áp dụng Query ACLs cho các bảng chứa dữ liệu nhạy cảm hoặc có nguy cơ bị liệt kê. Điều này sẽ giới hạn khả năng của những kẻ tấn công trong việc thực hiện các truy vấn lạm dụng để thu thập thông tin về số lượng bản ghi.
* Sử dụng Security Data Filters: Kích hoạt và định cấu hình Security Data Filters để thêm một lớp bảo vệ nữa, đảm bảo rằng mọi dữ liệu không được phép truy cập sẽ bị lọc bỏ trước khi hiển thị.
Tình Trạng và Mức Độ Khẩn Cấp
Hiện tại, không có bằng chứng nào cho thấy lỗ hổng này đã bị khai thác trước khi bản vá được phát hành. Tuy nhiên, tác động tiềm tàng rộng lớn của nó đòi hỏi sự chú ý khẩn cấp từ các tổ chức bị ảnh hưởng. Việc triển khai kịp thời các biện pháp khắc phục được ServiceNow khuyến nghị là rất quan trọng để bảo vệ dữ liệu nhạy cảm và duy trì tính toàn vẹn của hệ thống.
