Une vulnérabilité majeure découverte dans la plateforme ServiceNow pourrait permettre à des utilisateurs non autorisés d’**accéder à des données sensibles** via une mauvaise configuration des listes de contrôle d’accès (ACL). Identifiée sous le nom de CVE-2025-3648 et notée 8,2 sur l’échelle CVSS, cette faille de sécurité peut conduire à une exposition massive de données. Si vous cherchez des renseignements sur une faille de sécurité ServiceNow ou comment protéger vos données dans des environnements SaaS, voici ce qu’il faut savoir.
Une faille de sécurité critique dans ServiceNow
La faille Count(er) Strike : un risque de fuite de données sur ServiceNow
La société de cybersécurité Varonis a mis en lumière une faille, active sur l’ensemble des instances de ServiceNow, permettant à un attaquant d’exploiter des configurations ACL erronées. La CVE-2025-3648, surnommée Count(er) Strike, repose sur des erreurs de gestion des règles conditionnelles d’accès. Celles-ci peuvent laisser fuites des métadonnées d’une base de données, même sans autorisation d’accès explicite.
Les ACL de ServiceNow s’appuient sur quatre conditions : les rôles requis, les attributs de sécurité, les conditions sur les données et les scripts personnalisés. Si certaines de ces conditions sont trop permissives ou laissées vides, un utilisateur — même sans rôle ou avec de faibles privilèges — pourrait exécuter des requêtes sur des tables restreintes.
Exploitation simplifiée, impact vaste
La vulnérabilité affecte principalement l’élément d’interface affichant le nombre d’enregistrements dans une liste. En adaptant les paramètres de requêtes, un cyberattaquant peut inférer la présence de données sensibles. Selon Varonis, cela pourrait concerner des informations personnelles identifiables (PII), des identifiants d’utilisateur et d’autres éléments confidentiels.
En exploitant les réponses fournies par l’interface ServiceNow lors des vérifications d’accès – messages différents selon la condition ACL échouée – un attaquant peut comprendre quelles conditions sont en vigueur, puis raffiner ses requêtes pour extraire les données cibles.
Techniques avancées de contournement et scénarios d’exploitation
Dot-walking et comptes anonymes : les vecteurs d’attaque
Un pirate peut utiliser des techniques telles que le dot-walking (navigation entre tables liées) pour élargir son accès, ou créer un compte via l’inscription libre (self-registration), faisant de la faille un point d’attaque puissant et furtif. Cette simplicité d’exploitation en fait une menace sérieuse pour les organisations déployant ServiceNow sans contrôles stricts.
Pour mieux comprendre comment ces vulnérabilités sont imaginées et exploitées, la lecture du livre pour apprendre à hacker proposé par CyberCare est tout indiquée. Il permet de se familiariser avec les logiques internes des plateformes complexes et d’apprendre à hacker de manière éthique pour anticiper ce type de scénarios.
Mécanismes de défense mis en place par ServiceNow
Face à cette menace, ServiceNow a intégré plusieurs mécanismes de sécurité : les Query ACLs, Security Data Filters et Deny-Unless ACLs. Ces outils visent à restreindre les réponses aux requêtes dont les ACL ne sont pas totalement satisfaites. Autrement dit, les réponses par défaut vont désormais masquer totalement les données non autorisées.
La mise à jour impose aussi que les ACLs de type « query range » soient définis comme « deny » par défaut, obligeant les administrateurs à configurer manuellement les exceptions nécessaires pour maintenir un bon fonctionnement sans compromettre la sécurité.
Autres failles repérées : Lenovo et Microsoft également touchés
Vulnérabilité dans Lenovo TrackPoint Quick Menu
En parallèle, une faille d’élévation de privilèges dans le logiciel Lenovo TrackPoint Quick Menu (CVE-2025-1729) a été corrigée. Elle permettait le hijacking de DLL via l’exécutable TPQMAssistant.exe grâce à des permissions trop permissives sur son répertoire. Un attaquant local pouvait injecter une DLL malveillante et exécuter du code avec des privilèges élevés. Cette vulnérabilité a été patchée en juillet 2025.
Bug de type DoS dans le protocole Kerberos de Windows
Microsoft a corrigé une faille de type déni de service (CVE-2025-47978) dans le protocole Kerberos de Windows, publiquement surnommée NOTLogon. Elle permet à un utilisateur faiblement privilégié de crasher un contrôleur de domaine via un message RPC mal formé. Cela perturbe le processus LSASS responsable de l’authentification dans Active Directory, menaçant la disponibilité des services réseau en entreprise.
Cette attaque démontre encore une fois l’impact potentiel qu’un compte standard, mal contrôlé, peut avoir sur des infrastructures critiques – un sujet également traité en profondeur dans notre livre pour hacker.
Face aux vulnérabilités identifiées dans ServiceNow, Microsoft et Lenovo, CyberCare accompagne les entreprises dans le durcissement de leur sécurité applicative et réseau en proposant des services d’audit et de détection avancée des failles.
