В сфере корпоративных IT-платформ, где сосредоточены критически важные бизнес-процессы, автоматизация и интеграции, безопасность является абсолютным приоритетом. Новость о критической уязвимости в AI-платформе ServiceNow, способной привести к удалённому выполнению кода, служит тревожным напоминанием о том, что даже в изолированных средах существуют риски. Эта проблема затрагивает тысячи организаций по всему миру, использующих ServiceNow для управления услугами, IT-операциями и бизнес-процессами, поскольку потенциально ставит под угрозу конфиденциальные данные рабочих процессов и логику интеграций.
Детали уязвимости
Компания ServiceNow официально сообщила об уязвимости, получившей идентификатор CVE-2026-0542, 25 февраля 2026 года в рамках консультационного бюллетеня безопасности KB2693566. Суть проблемы заключается в возможности для неавторизованного злоумышленника, при определённых условиях, выполнить произвольный код в рамках так называемой Sandbox (песочницы) ServiceNow. Песочница - это изолированная среда выполнения, предназначенная для безопасного тестирования скриптов и приложений. Однако, как показала данная уязвимость, связанная с недостаточной изоляцией (CWE-653), нарушение её границ может иметь серьёзные последствия.
Хотя выполнение кода ограничено рамками этой песочницы и не позволяет напрямую атаковать основную операционную систему хостинга, угроза остаётся высокой. Злоумышленник, получив подобный доступ, может скомпрометировать чувствительные данные, обрабатываемые внутри платформы. Речь идёт о логике автоматизированных рабочих процессов (workflows), конфигурациях интеграций с другими корпоративными системами, а также о потенциальном доступе к данным, используемым AI-моделями платформы. Это создаёт риски утечки интеллектуальной собственности, нарушения бизнес-непрерывности и может стать первым шагом для более глубокого проникновения в инфраструктуру заказчика. Важно отметить, что на момент публикации бюллетеня свидетельств активной эксплуатации уязвимости в реальных атаках на клиентские инстансы обнаружено не было.
С технической точки зрения, уязвимость классифицирована как критическая с оценкой 9.2 балла по шкале CVSS 4.0. Ключевыми факторами такой высокой оценки являются возможность атаки через сеть (Network) без необходимости аутентификации злоумышленника (Privileges Required: None) и высокий потенциал воздействия на конфиденциальность, целостность и доступность (VC:H/VI:H/VA:H). Атака не требует взаимодействия с пользователем (User Interaction: None), что делает её особенно опасной для интернет-доступных экземпляров платформы. Несмотря на высокий уровень сложности атаки (Attack Complexity: High), что несколько снижает вероятность массового автоматизированного использования, для целевых атак эта преграда не является непреодолимой.
В ответ на обнаруженную проблему ServiceNow действовала оперативно. Ещё 6 января 2026 года компания в автоматическом режиме развернула обновление безопасности для всех клиентов, использующих облачную (hosted) версию платформы. Для клиентов с самостоятельным размещением (on-premise) и партнёров были выпущены соответствующие патчи и исправления для различных версий платформ. В частности, исправления включены в обновления для релизов с кодовыми названиями Zurich, Yokohama и Xanadu. Например, для релиза Zurich уязвимость устранена в Patch 5 от 12 января и Patch 4 Hotfix 3b от 23 февраля 2026 года. Для релиза Australia исправление запланировано на второй квартал 2026 года. Организациям, участвовавшим в программе обновлений января 2026 года, соответствующий патч уже был предоставлен.
С практической точки зрения, рекомендации для специалистов по информационной безопасности и администраторов ServiceNow очевидны, но оттого не менее важны. В первую очередь, необходимо незамедлительно проверить текущую версию используемого релиза и применить соответствующие обновления, руководствуясь данными из бюллетеня KB2693566. Особое внимание следует уделить экземплярам, доступным из интернета или имеющим внешние интеграции, так как они находятся в зоне повышенного риска. Кроме того, стоит пересмотреть политики безопасности, касающиеся изолированных сред выполнения кода, и усилить мониторинг подозрительной активности в рамках платформы, используя возможности SIEM-систем. Хотя уязвимость не эксплуатировалась в дикой природе, её критический характер не оставляет времени на промедление. Своевременная установка патчей остаётся наиболее эффективным способом защиты от подобных угроз, подчёркивая важность дисциплинированного подхода к управлению обновлениями даже для платформ уровня предприятия.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-0542
- https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB2693566
