Agentenübernahme und laterale Bewegung: Lehren aus der ServiceNow-KI-Schwachstelle

Inhaltsverzeichnis

Diesen Beitrag teilen:

TL; DR

Im Dezember 2025, ein kritischer ServiceNow-KI-Schwachstelle Benutzeridentitätsimitation und vollständiger Workflow-Missbrauch wurden ermöglicht. A statisch Aufgrund von Sicherheitslücken bei Anmeldeinformationen und der schwachen Identitätsbindung können Agenten mit gefälschten Identitäten agieren, einschließlich des Missbrauchs von Vertrauen zwischen Agenten. Dies stellt einen Identitätsfehler zur Laufzeit dar, aus dem wichtige Erkenntnisse gewonnen werden können. Dank ServiceNow für die schnelle Behebung und die Transparenz, die es ermöglichte, über die CVE hinausgehende Erkenntnisse zu gewinnen. 

Was ist passiert?

Ende Dezember 2025, Sicherheitsforscher offengelegt eine kritische Schwachstelle im Bereich Authentifizierung und AutorisierungFähigkeit in der KI-Plattform von ServiceNow, später als CVE-2025-12420 erfasst. Die Schwachstelle betraf Virtual AForscher dokumentierten eine Sicherheitslücke in der ServiceNow-API und den Now Assist-KI-Agenten. Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, kann sich als beliebige Benutzer, einschließlich Administratoren, ausgeben, privilegierte Konten erstellen, Workflows ausführen und so die vollständige Kontrolle über den ServiceNow-Tenant eines Kunden erlangen. Dadurch ist es ihm möglich, auch in verbundene Unternehmenssysteme einzudringen. Die Schwachstelle resultiert aus einer Kombination aus statischen Integrationsberechtigungen, unzureichender Identitätsprüfung auf API-Ebene und KI-Agenten, die Aktionen auf Basis eines nicht verifizierten Identitätskontexts ausführen und so herkömmliche Kontrollmechanismen umgehen.

ServiceNow arbeitete eng mit den meldenden Forschern zusammen, veröffentlichte Anfang Januar 2026 Patches und Konfigurationsänderungen, aktualisierte eingebettete Anmeldeinformationen und informierte die Kunden direkt über Maßnahmen zur Risikominderung. Es gab keine öffentlich bekannten Hinweise auf eine weitverbreitete Ausnutzung. Die Bedeutung dieses Vorfalls liegt weniger im sichtbaren Schaden als vielmehr in den Erkenntnissen, die er über die Wechselwirkungen zwischen Automatisierung und Identität in Unternehmensplattformen lieferte. 

Ein mögliches Szenario der Bewaffnung

Ein Angreifer identifiziert die ServiceNow-Tenant-URL eines Kunden und erlangt die E-Mail-Adresse eines privilegierten Benutzers. Durch Ausnutzung der Sicherheitslücke in der Virtual Agent API gibt sich der Angreifer ohne Authentifizierung als dieser Benutzer aus und umgeht so MFA und SSO vollständig. 

Mithilfe von Now Assist AI-Agenten erstellt der Angreifer automatisiert ein neues Administratorkonto und weist ihm Rollen mit hohen Berechtigungen zu. Diese Aktionen werden über genehmigte Workflows ausgeführt und als legitime Aktivitäten protokolliert. Anschließend nutzt der Angreifer ServiceNow-Integrationen, um Anmeldeinformationen bei einem verbundenen Identitätsanbieter zurückzusetzen, Zugriff auf Cloud-Umgebungen zu gewähren oder Warnmeldungen zu unterdrücken. 

An diesem Punkt ist die Schwachstelle vollständig ausgenutzt. Der Angreifer erlangt dauerhafte administrative Kontrolle durch die Anwendung von Geschäftslogik anstelle von Exploits und dringt lateral in nachgelagerte Systeme ein, die ServiceNow als Steuerungsebene vertrauen.

Angriffsablauf von der Aufklärung bis zur Kompromittierung

Die Identität davon: Laufzeitvertrauen für Agenten

„Das Problem bei dieser Sicherheitslücke war nicht das Fehlen von Sicherheitskontrollen, sondern deren Ende. Die Identität wurde einmalig am Eingangspunkt überprüft und dann als dauerhaft vertrauenswürdig behandelt. Danach wurde die Identität bei der Ausführung von Aktionen weder überprüft, erneut bestätigt noch hinterfragt.“

Roy Akerman, Vizepräsident für Identitätssicherheitsstrategie

Dieses Modell versagt in agentenbasierten Systemen. Agenten sind langlebig, autonom und kompositionellSie arbeiten im Zeitverlauf, rufen andere Agenten auf und lösen Arbeitsabläufe ohne menschliches Eingreifen aus. Jede Aktion stärkt das Vertrauen in das System. Die Identität hinter diesen Handlungen wird nie wieder bekräftigt oder neu bewertet..

Folglich wurde Identität zu einem statischen Label anstatt zu einer Laufzeitsteuerung. Autorität wurde an der Peripherie durchgesetzt, während die eigentliche Macht tief im Ausführungsablauf ausgeübt wurde. War die ursprüngliche Identitätsfeststellung falsch, wurde dieser Fehler auf alle nachfolgenden Entscheidungen übertragen.

In einer agentenbasierten Umgebung muss die Identität mit der Handlung einhergehen. Agenten benötigen eigene Identitäten.Klare Grenzen für ihre Handlungsoptionen und explizite Regeln für die Delegation von Befugnissen zwischen den Agenten sind unerlässlich. Ohne Laufzeit-Identitätsprüfung arbeitet die Automatisierung nicht nur schneller, sondern auch blind. 

On-Demand-Webinar

Die nächste Herausforderung im Bereich Identität: Sicherung von KI-Agenten

  • Warum KI-Agenten eine neue Art von Identität darstellen
  • Welche Rolle Vertrauen und gute Unternehmensführung dabei spielen
  • Strategien zur Absicherung von KI-Agenten in Ihrer Organisation
Jetzt ansehen

Lektionen zur Identitätssicherheit

Wenn Sie sich im Workflow des Aufbaus/Sicherung/guardraiLeng Agenten, Hier ist meine Meinung dazu smehrere IDsEntität und Die Muster von Zugriffskontrollfehlern traten mit ungewöhnlicher Deutlichkeit in der anfälligen Art und Weise zutage, wie diese Agenten und ihre Anmeldeinformationen/ihr Vertrauen aufgebaut wurden: 

Identitätsdiebstahl ohne Authentifizierung

Die Plattform akzeptierte Identitätsnachweise auf Basis schwacher Identifikatoren anstelle kryptografischer Beweise. E-Mail-Adressen dienten als Identitätstoken und umgingen so die Sitzungsvalidierung, die Multi-Faktor-Authentifizierung und die Sicherheitsstufen vollständig. 

Privilegienausweitung plus Persistenz 

Sobald die Identitätsfälschung erfolgreich war, mussten die Angreifer keine weiteren Sicherheitslücken ausnutzen. zusätzlich Sicherheitslücken. Sie nutzten legitime Arbeitsabläufe, um diese zu erstellen.te new privalisierende Berichte und ändern Rollen, Festlegung Durch Beharrung mittels autorisierter Zustandsänderungen statt durch verdeckte Hintertüren. 

Missbrauch von Geschäftslogik und Arbeitsabläufen

Der Angriffspfad beruhte darauf, dass genehmigte Automatisierungsprozesse exakt wie vorgesehen funktionierten. Bereitstellungsabläufe, Genehmigungen und Konfigurationsänderungen ausgeführt Korrekterweise geschieht dies unter falscher Identität. Dadurch verlagerte sich die Angriffsfläche von Codefehlern hin zu Vertrauensannahmen, die in der Geschäftslogik verankert sind.

Missbrauch des Vertrauensverhältnisses zwischen Agenten

Die Agenten delegierten Befugnisse an andere Agenten, ohne deren Identität oder Absicht erneut zu überprüfen. Dadurch entstand ein modernes Szenario, in dem sich das Vertrauen zwischen den Agenten ausbreitete und die Auswirkungen eines einzelnen kompromittierten Identitätskontexts verstärkte.

Ausführung zweiter Ordnung

Eingaben mit geringem Vertrauen lösten indirekt über zwischengeschaltete Interaktionen Aktionen mit hohem Privileg aus.Vermittler Agenten. Die Angriffsfläche bestand nicht in der Manipulation von Reaktionsfähigkeit oder Sprache, sondern im Ausführungskontext und der delegierten Autorität.

Aufdeckung und Prüfungserosion

Als die Identitätsschicht selbst kompromittiert wurde und die Angreifer immer weiter nach oben vordrangen, waren folgende Maßnahmen erforderlich: schien zu sein Legitime Nutzeraktivitäten. Infolgedessen verloren herkömmliche identitätsbasierte Überwachungsmethoden und Verhaltensanalysen an Zuverlässigkeit. Zusammen ergeben diese Muster zeigen dass agentenbasierte Systeme die traditionelle Sicherheit untergraben Schichtung, es sei denn, die Identität Die Bedienelemente sind Die Durchsetzung erfolgt kontinuierlich, kontextbezogen und zur Laufzeit. Wird Identität als Annahme statt als Kontrollmechanismus behandelt, beschleunigt die Automatisierung Sicherheitslücken, anstatt die Sicherheit zu erhöhen. 

Fazit: Von der Fehlkonfiguration zum nächsten APT

Dieser Angriffsablauf offenbart einen systemischen Fehler im Design und der Ausführung von KI-Agenten und nicht nur eine einzelne Schwachstelle. Im Interaktionsablauf der Agenten wurde die Identität einmalig validiert und anschließend dauerhaft angenommen. Vertrauen wurde ohne erneute Validierung zwischen Agenten und Workflows weitergegeben. Jede einzelne Entscheidung erschien für sich betrachtet plausibel, doch zusammen bildeten sie einen unsicheren Ausführungspfad. Es handelt sich hierbei um Schwachstellen auf Ablaufebene, die darin begründet liegen, wie Autorität in langlebigen, autonomen und kompositionellen Systemen weitergegeben wird.

Der blinde Fleck ist nicht die Codequalität, sondern die Vertrauenskontinuität. Organisationen müssen unsichere Vertrauenspfade erkennen, nicht nur Fehlkonfigurationen. IAM- und Sicherheitsteams müssen davon ausgehen, dass solche Fehler auftreten werden, und entsprechende Maßnahmen ergreifen. Laufzeitidentitätssicherheit Missbrauch wird somit auch dann erkannt und gestoppt, wenn die Designannahmen nicht erfüllt sind. Dies ist zugleich ein Aufruf an die Community der Angriffsvalidierung, agentenbasierte Angriffspfade und Fehler bei der Vertrauensweitergabe zu modellieren. 

Lassen Sie nicht zu, dass die rasante Verbreitung von KI und der Experimentiergeist die Identitätssicherheit vernachlässigen. Da sich agentenbasierte Systeme schneller entwickeln als herkömmliche Kontrollmechanismen, muss die Identitätssicherheit neue Wege beschreiten: kontinuierlich, in Echtzeit und kontextbezogen. Organisationen, die die Identitätssicherheit an die tatsächlichen Arbeitsabläufe anpassen, werden den zukünftigen Entwicklungen einen Schritt voraus sein.

Dies ist nicht die nächste Generation von Angriffen. Angreifergruppen integrieren bereits Scanning, Umgehung von Sicherheitsabfragen und Ausnutzung dieser fehlerhaften Designmuster in ihre APT-Infrastruktur und testen diese gegen große Unternehmen.

Möchten Sie mehr über die Absicherung von KI-Agenten erfahren?

Erfahren Sie, wie Sie Discovery, Risikobewertung und Inline-Construction für KI-gesteuerte Umgebungen vereinheitlichen können. 

Mehr erfahren

Ressourcen

CVE-2025-12420 
Offizieller CVE-Eintrag, der die Authentifizierungs- und Autorisierungsschwachstelle von ServiceNow beschreibt. 
https://nvd.nist.gov/vuln/detail/CVE-2025-12420 

ServiceNow-Sicherheitshinweis und Kundenbenachrichtigung (Januar 2026) 
Offizielle Offenlegungs- und Behebungshinweise von ServiceNow für die Sicherheitslücke in Virtual Agent und Now Assist AI. 
https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB0XXXXXX 
(Hinweis: ServiceNow-Empfehlungen sind für Kunden zugänglich; die genauen KB-IDs variieren je nach Instanz.) 

AppOmni-Forschung: „BodySnatcher“-Agenten-KI-Schwachstelle in ServiceNow 
Detaillierte technische Analyse der Schwachstelle, der Ausnutzungspfade und der Missbrauchsmuster durch Dritte. 
https://appomni.com/ao-labs/bodysnatcher-agentic-ai-security-vulnerability-in-servicenow/ 

Dunkles Lesen  
Unabhängige Berichterstattung und Expertenkommentare zur Sicherheitslücke und ihren Auswirkungen auf KI-gesteuerte SaaS-Plattformen. 
https://www.darkreading.com/remote-workforce/ai-vulnerability-servicenow

ThaiCERT-Warnung zu ServiceNow-KI-Schwachstelle 
Nationale CERT-Analyse mit Hervorhebung der Risiken, der betroffenen Komponenten und Empfehlungen zur Risikominderung. 
https://www.thaicert.or.th/en/2026/01/15/critical-ai-driven-vulnerability-discovered-in-servicenow-could-lead-to-full-system-compromise/ 

Wir haben Identity Security auf ein neues Level gehoben.

Entdecken Sie, was möglich ist.

Vereinbaren Sie eine Demo und erleben Sie die Silverfort Identity-Security-Plattform in Aktion.

Demo anfragen