新たな「BodySnatcher」の欠陥により、ServiceNowユーザーの完全ななりすましが可能に

セキュリティ研究者が、ServiceNowのVirtual Agent APIおよびNow Assist AI Agentsアプリケーションに存在する重大な脆弱性（CVE-2025-12420として追跡）を公開しました。

「BodySnatcher」と名付けられたこの欠陥により、未認証の攻撃者がメールアドレスだけを用いて任意のServiceNowユーザーになりすますことができ、多要素認証およびシングルサインオン（SSO）の制御を回避して、特権AIワークフローを実行したり、バックドアとなる管理者アカウントを作成したりできます。

この脆弱性は、ServiceNowのAIエージェント基盤における2つの安全でない設定を連鎖させて悪用します。

脆弱性の概要

第一に、AI Agentのチャネルプロバイダーは、世界中のすべてのServiceNowインスタンスで同一の静的クライアントシークレットを搭載した状態で提供されており、普遍的な認証バイパスを可能にしていました。

第二に、自動リンク機構は、MFAを強制せずにメールアドレスのみでアカウント関連付けを要求していたため、共有トークンを入手した攻撃者であれば誰でも正規ユーザーになりすまし、侵害したIDの下でAIエージェントを実行できました。

影響を受けるバージョンとパッチのタイムライン

技術的な攻撃チェーン

BodySnatcherのエクスプロイトは、ServiceNowのVirtual Agent APIと、AIA-Agent Invoker AutoChat内部トピックとの相互作用を悪用します。

この攻撃には標的のメールアドレスの把握が必要であり、AI Agentプロバイダーに同梱されているハードコードされた共有認証情報を悪用します。

未認証のVirtual Agent APIエンドポイントを用いることで、攻撃者は特別に細工したペイロードを注入し、なりすました管理ユーザーのコンテキストでAIエージェントの実行をトリガーできます。

攻撃は2段階で進行します。まず攻撃者は、共有トークン「servicenowexternalagent」と標的のメールアドレスを用いて、 /api/sn_va_as_service/bot/integration エンドポイントに初回のHTTP POSTリクエストを送信します。

自動リンク機構により、外部からのリクエストが正規のServiceNowユーザーアカウントに自動的に関連付けられます。

次に攻撃者は、AIエージェントが確認を要求するまで8〜10秒待ち、その後、ユーザー作成やロール割り当てなどの悪意ある操作を承認するための追撃ペイロードを送信します。

概念実証（PoC）のデモでは、攻撃者は新規ユーザーアカウントの作成、管理者権限の付与、標準の「パスワードを忘れた場合」ワークフローによるパスワードリセットを成功させ、正規の資格情報を所持せず、SSO制御も回避することなく、プラットフォームへの完全なアクセスを獲得しました。

ServiceNowは、この特定の脆弱性に対処するため、デフォルトインストールからRecord Management AI Agentを削除しました。しかし、AppOmniのAaron Costelloが報告しているとおり、組織のカスタムエージェントは設定不備がある場合、依然としてリスクにさらされます。

オンプレミス展開を運用しているServiceNow顧客は、直ちに修正済みバージョンへアップグレードすべきです。

さらに、セキュリティチームは代替的な補完コントロールを実装し、ソフトウェアベースの認証アプリを用いて、Virtual AgentプロバイダーのアカウントリンクにMFAを強制する必要があります。

また、AI Control Towerを通じてAIエージェント展開に必須の承認ワークフローを確立し、悪用ベクターとなり得る休眠または未使用のAIエージェントを特定して無効化するため、四半期ごとの監査を実施してください。