كشفت شركة ServiceNow عن ثغرة أمنية خطيرة في منصتها تُعرف باسم CVE-2025-3648، تحمل تقييم خطورة 8.2 على مقياس CVSS، وقد تؤدي إلى كشف بيانات حساسة بسبب خلل في إعدادات قوائم التحكم بالوصول (ACLs). وقد أُطلق على الثغرة اسم Count(er) Strike.
ووفقًا للشركة، فإن هذا الخلل يمكن أن يسمح للمستخدمين – سواء كانوا موثوقين أم لا – بالوصول إلى بيانات غير مصرح بها عبر استعلامات “النطاق” في ظروف معينة من إعدادات ACL. وقد أوضحت ServiceNow أن هذه الثغرة قد تُمكن المهاجمين من استنتاج بيانات من الجداول الداخلية دون الحاجة إلى أذونات صريحة.
اكتشفت شركة الأمن السيبراني Varonis هذا الخلل في فبراير 2024، محذرة من أن المهاجمين قد يستغلونه للوصول إلى معلومات حساسة مثل البيانات التعريفية الشخصية (PII) وبيانات الاعتماد. وأوضحت أن المشكلة تكمن في عنصر واجهة المستخدم لعدّ السجلات في صفحات القوائم، والذي يمكن استخدامه لاستنتاج كميات من البيانات السرية من جداول متعددة.
سهولة الاستغلال واتساع الأثر المحتمل
أوضحت Varonis أن هذا الخلل بسيط الاستغلال نسبيًا، إذ لا يتطلب سوى حق وصول محدود – مثل حساب ضعيف الصلاحيات أو حتى مستخدم مجهول مسجل ذاتيًا – مما يُغني عن الحاجة إلى تصعيد الامتيازات للوصول إلى البيانات الحساسة.
رغم أن الوصول إلى الجداول في ServiceNow يخضع لشروط ACL مثل “البيانات”، “السكريبت”، “الأدوار”، و”سمات الأمان”، فإن سلوك النظام في الردود المختلفة على هذه الشروط يفتح المجال لهجمات استنتاج البيانات. فعلى سبيل المثال، تُعرض للمستخدمين رسائل مختلفة بناءً على نوع الشرط غير المحقق، مما يساعد المهاجم على تحليل هذه الاختلافات لتحديد الثغرات وإجراء استعلامات متكررة لجمع المعلومات.
ويمكن لأي مستخدم داخل النظام – حتى ذوي الصلاحيات المحدودة – استغلال هذه الثغرة إذا ما كان هناك جدول واحد على الأقل بإعدادات ACL غير صارمة. وتزداد خطورة الأمر في حال ترك أول شرطين (الأدوار والسمات) فارغين أو مفرطين في التراخي، وهو ما يعد شائعًا في بعض الحالات.
التوسع في الهجوم والرد الأمني
من الأخطار الإضافية المرتبطة بالثغرة، إمكانية استغلال تقنيات مثل “dot-walking” و”التسجيل الذاتي” لتوسيع نطاق الهجوم، مما يتيح الوصول إلى بيانات مرتبطة من جداول أخرى وإنشاء حسابات جديدة دون موافقة إدارية.
ردًا على ذلك، طبقت ServiceNow ضوابط أمنية جديدة تتضمن “Query ACLs”، و”مرشحات بيانات الأمان”، و”Deny-Unless ACLs” للحد من أثر هذه الهجمات. وأكدت الشركة أنه رغم عدم وجود دليل على استغلال الثغرة في الهجمات الفعلية، إلا أنه من الضروري تفعيل آليات الحماية على الجداول الحساسة. كما نبهت إلى أن إعدادات “Query Range ACLs” ستُضبط افتراضيًا على “الرفض”، ما يستوجب من العملاء إنشاء استثناءات لضمان استمرار صلاحيات المستخدمين المصرح لهم.
ثغرة جديدة في برمجية Lenovo تتيح تصعيد الامتيازات
في سياق منفصل، كشفت شركة TrustedSec عن ثغرة تصعيد امتيازات في برنامج “TrackPoint Quick Menu” الخاص بأجهزة Lenovo (CVE-2025-1729)، ناتجة عن إمكانية تحميل مكتبة DLL ضارة. تكمن المشكلة في أن المجلد الذي يحتوي على الملف التنفيذي “TPQMAssistant.exe” قابل للكتابة من قِبل المستخدمين العاديين، ما يسمح لهم بزرع ملف DLL خبيث داخل المجلد.
عند تشغيل البرنامج أو تنفيذ المهمة المجدولة، يبحث النظام عن ملف “hostfxr.dll” في الدليل الحالي ولا يجده، ما يُعد فرصة مثالية لتنفيذ “السيدلودينغ” (DLL Sideloading). تم إصلاح هذه الثغرة في الإصدار 1.12.54.0 بتاريخ 8 يوليو 2025.
ثغرة في Kerberos تتيح تعطيل خدمة “Active Directory”
كذلك، كشفت شركة Silverfort عن ثغرة من نوع “قراءة خارج حدود الذاكرة” (Out-of-Bounds Read) في بروتوكول Netlogon في خدمة Kerberos من مايكروسوفت (CVE-2025-47978، بتقييم 6.5). تسمح هذه الثغرة لأي جهاز مرتبط بالنطاق بإرسال طلب مصادق عليه يؤدي إلى انهيار وحدة التحكم بالنطاق (Domain Controller)، مما يستدعي إعادة تشغيل كاملة.
ووفقًا للباحث الأمني Dor Segal، لا تتطلب الثغرة صلاحيات مرتفعة، بل يكفي وجود حساب آلي ضعيف ضمن شبكة المؤسسة. وتشكل هذه الثغرة تهديدًا لاستقرار خدمة “Active Directory” الحيوية التي تتحكم في التوثيق والسياسات الأمنية وإصدار تذاكر الوصول.
