Uma vulnerabilidade perigosa na plataforma Now Assist AI da ServiceNow permite que invasores executem ataques de injeção imediata de segunda ordem por meio de configurações padrão do agente.
A falha permite ações não autorizadas, incluindo roubo de dados, escalonamento de privilégios e exfiltração de e-mail externo, mesmo com a proteção integrada de injeção imediata do ServiceNow habilitada.
A vulnerabilidade decorre de três configurações padrão que, quando combinadas, criam uma superfície de ataque perigosa. Os agentes do ServiceNow Assist são atribuídos automaticamente à mesma equipe e marcados como detectáveis por padrão.
Isso permite a comunicação entre agentes por meio dos componentes AiA ReAct Engine e Orchestrator, que gerenciam o fluxo de informações e a delegação de tarefas entre agentes.
Ataques de injeção de prompt de IA do ServiceNow
Os invasores exploram isso injetando avisos maliciosos em campos de dados que outros agentes lerão quando um agente seguro encontrar os dados comprometidos.
Pode ser induzido a recrutar agentes mais poderosos para executar tarefas não autorizadas em nome do usuário altamente privilegiado que acionou a interação inicial.
Em demonstrações de prova de conceito, os pesquisadores da Appomni realizaram com sucesso operações de criação, leitura, atualização e exclusão (CRUD).
Em registros confidenciais e e-mails externos enviados contendo dados confidenciais, evitando as proteções de segurança existentes.
O ataque é bem-sucedido principalmente porque os agentes são executados com os privilégios do usuário que iniciou a interação, e não do usuário que inseriu o prompt malicioso.
Um invasor com poucos privilégios pode, portanto, aproveitar agentes administrativos para contornar os controles de acesso e acessar dados que, de outra forma, não conseguiriam acessar.
Appomni aconselha as organizações que usam o ServiceNow a implementar imediatamente estas medidas de proteção: Habilitar o modo de execução supervisionada: configure agentes poderosos que executam operações CRUD ou envio de e-mail para exigir aprovação humana antes de executar ações.
Desativar substituições autônomas: certifique-se de que a propriedade do sistema sn_aia.The enable_usecase_tool_execution_mode_override permaneça definida como falsa.
Segmentar equipes de agentes: separe os agentes em equipes distintas com base na função, evitando que agentes de baixo privilégio acessem os mais poderosos.
Monitore o comportamento do agente: implante soluções de monitoramento em tempo real para detectar interações suspeitas de agentes e desvios dos fluxos de trabalho esperados.
A ServiceNow confirmou que esses comportamentos estão alinhados com a funcionalidade pretendida, mas atualizou a documentação para esclarecer os riscos de configuração. As equipes de segurança devem priorizar a auditoria imediata de suas implantações de agentes de IA para evitar a exploração dessas configurações padrão.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Entre em contato conosco para apresentar suas histórias.
