ServiceNow’un üretken yapay zeka platformu Now Assist’te, kimlik doğrulaması yapılmamış kullanıcıların başka kullanıcıları taklit etmesine izin veren kritik bir güvenlik açığı ortaya çıktı. CVE-2025-12420 olarak tanımlanan bu zafiyet, AppOmni tarafından “BodySnatcher” kod adıyla raporlandı ve CVSS skoru 9.3 olarak belirlendi.
Saldırının Genel Çerçevesi
Bu güvenlik açığı, kimlik doğrulaması yapılmamış saldırganların yalnızca bir e-posta adresi kullanarak herhangi bir ServiceNow kullanıcısını, özellikle de yöneticileri taklit etmesine olanak sağlıyor. Böylece çok faktörlü kimlik doğrulama (MFA) ve tek oturum açma (SSO) gibi koruma mekanizmaları atlanabiliyor. Başarılı bir istismar, saldırganın AI ajanlarını kontrol ederek arka kapı hesapları oluşturmasına ve ayrıcalık yükseltmesine imkan tanıyor.
Hangi Sistemler Risk Altında?
Bu zafiyet, Now Assist AI Agents (sn_aia) sürüm 5.1.18 ve sonrası ile Virtual Agent API (sn_va_as_service) sürüm 3.15.2 ve sonrası ile 4.0.4 ve üzeri sürümleri etkiliyor. ServiceNow, 30 Ekim 2025 itibarıyla çoğu barındırılan örnek için güvenlik yamalarını yayınladı ve bu yamalar ortaklar ile kendi kendine barındırılan müşterilerle paylaşıldı.
Saldırı Zinciri ve Teknik Detaylar
- Zafiyet Kodu: CVE-2025-12420
- İstismar Yöntemi: Yetkisiz kullanıcıların e-posta adresi kullanarak taklit yapması
- Atlanan Güvenlik Katmanları: MFA, SSO ve diğer erişim kontrolleri
- Sonuç: Yükseltilmiş ayrıcalıklar, AI ajanlarının kötüye kullanımı, arka kapı hesapları oluşturulması
- MITRE ATT&CK Bağlantısı: T1078 (Valid Accounts), T1190 (Exploit Public-Facing Application)
Kurumsal Ortamlarda Olası Senaryolar
Örneğin, bir finans kurumunda saldırgan, yöneticiyi taklit ederek AI destekli otomasyon iş akışlarını manipüle edebilir. Bu durum, hassas finansal verilerin dışarı sızdırılması, kayıtların değiştirilmesi ve sistemde kalıcı arka kapıların oluşturulmasıyla sonuçlanabilir. Bu tür saldırılar, bulut güvenliği ve ağ segmentasyonu stratejilerinin önemini bir kez daha ortaya koyuyor.
Siber Güvenlik Ekipleri İçin Öneriler
- ServiceNow Now Assist ve Virtual Agent API sürümlerini en güncel yamalarla güncelleyin.
- Yetkisiz erişim ve kimlik doğrulama hatalarını izlemek için SIEM çözümlerinde özel log takibi yapın.
- EDR araçlarıyla AI ajanlarının anormal davranışlarını tespit etmek için kurallar oluşturun.
- MFA ve SSO yapılandırmalarını gözden geçirerek, platform genelinde sabit kodlanmış sırların kullanımını engelleyin.
- Olay müdahale planlarını güncelleyerek bu tür kimlik taklit saldırılarına karşı hızlı aksiyon alınmasını sağlayın.
- Kullanıcı davranış analizi (UBA) ile olağandışı erişim ve işlem aktivitelerini tespit edin.
- Bulut ortamlarında ağ segmentasyonu uygulayarak kritik kaynaklara erişimi sınırlandırın.
- Güvenlik açıklarını düzenli olarak tarayın ve zafiyet yönetimi süreçlerinizi güçlendirin.
Teknik Özet
- Zararlı Araçlar: BodySnatcher kampanyası
- Hedef Sektörler: Kurumsal SaaS kullanıcıları, finans, teknoloji ve kamu kurumları
- Zafiyet: CVE-2025-12420, kimlik doğrulaması atlama
- Saldırı Zinciri: 1) E-posta adresi kullanarak taklit, 2) MFA/SSO atlama, 3) AI ajanlarını kontrol, 4) Ayrıcalık yükseltme ve arka kapı oluşturma
- Önerilen Savunma: Güncel yamaların uygulanması, IAM politikalarının sıkılaştırılması, EDR ve SIEM entegrasyonları
Bu zafiyetin Türkiye’deki kurumlar için de önem taşıdığı unutulmamalı; özellikle bulut tabanlı hizmetleri yoğun kullanan KOBİ ve kamu kurumlarının yamaları zamanında uygulaması kritik. Ayrıca, e-posta güvenliği ve olay müdahale süreçlerinin güçlendirilmesi, benzer saldırıların önüne geçilmesi açısından faydalı olacaktır.