セキュリティ研究者は、ServiceNowのVirtual Agent APIおよびNow Assist AI Agentsアプリケーションにおける重大な脆弱性(CVE-2025-12420)を公開しました。
「BodySnatcher」と名付けられたこの認証の欠陥により、未認証の攻撃者がメールアドレスだけを用いて任意のServiceNowユーザーになりすますことができます。
この脆弱性は多要素認証(MFA)およびシングルサインオン(SSO)の制御を完全に回避し、攻撃者が特権的なAIワークフローを実行したり、悪意のある管理者アカウントを通じて永続的なバックドアアクセスを確立したりできるようにします。
BodySnatcherのエクスプロイトは、ServiceNowのAIエージェント基盤内にある2つの重大なセキュリティ設定不備を連鎖させます。
まず、世界中のすべてのServiceNowインスタンスには、AI Agentのチャネルプロバイダーに同一の静的クライアントシークレットがハードコードされて出荷されており、普遍的な認証バイパスの仕組みを生み出しています。
次に、アカウント関連付けの自動リンク機構はメールアドレスだけを要求し、MFAを強制しないため、共有トークンを持つ攻撃者であれば誰でも正規ユーザーになりすますことができます。
攻撃は2段階で進行します。攻撃者はまず、/api/sn_va_as_service/bot/integrationエンドポイントにHTTP POSTリクエストを送信し、ハードコードされた共有トークン「servicenowexternalagent」と標的のメールアドレスを提供します。
自動リンク機構により、この外部リクエストは正規のServiceNowユーザーアカウントに自動的に関連付けられます。
AIエージェントの確認を8〜10秒待った後、攻撃者は標準ワークフローを介して、ユーザー作成、ロール付与、パスワードリセットなどの悪意ある操作を承認する追撃ペイロードを送信します。
概念実証のデモンストレーションでは、攻撃者が正規の認証情報を所持せず、SSOで認証することもなく、管理者アカウントの作成、権限昇格の付与、そしてプラットフォームの完全な制御の獲得に成功しました。
これは、あらゆるオンプレミスのServiceNow導入に影響する完全な認証バイパスを意味します。
ServiceNowはパッチ対策として、デフォルトインストールからRecord Management AI Agentを削除しましたが、組織が作成したカスタムエージェントは設定不備がある場合に脆弱なままです。
オンプレミスの顧客は、直ちに修正済みバージョンへアップグレードすべきです。セキュリティチームは、Virtual AgentプロバイダーのアカウントリンクにMFAを強制し、AI Control Towerを通じたAIエージェント導入に必須の承認ワークフローを確立し、未使用のAIエージェントを特定するために四半期ごとの監査を実施する必要があります。
影響を受けるServiceNowバージョンを運用している組織は、重要なITサービス管理およびAI自動化ワークフローを狙ったアカウント乗っ取り攻撃を防ぐため、パッチ適用を最優先すべきです。