Secuestro de agentes y movimiento lateral: Lecciones de la vulnerabilidad de ServiceNow AI

Índice del Contenido

Comparte este artículo:

TL; DR

En diciembre de 2025, un momento crítico Vulnerabilidad de inteligencia artificial de ServiceNow permitió la suplantación de usuario y el abuso total del flujo de trabajo. A stático La vinculación de credenciales y de identidades débiles permite a los agentes actuar sobre identidades falsificadas, incluyendo el abuso de confianza entre agentes. Esto representa un fallo de identidad en tiempo de ejecución, del cual se pueden extraer importantes lecciones. Gracias a ServiceNow por la rápida solución y la transparencia que permitió aprender más allá del CVE. 

¿Qué ha pasado?

A finales de diciembre de 2025, los investigadores de seguridad revelada Una vulnerabilidad crítica de autenticación y autorizaciónerabilidad en la plataforma de inteligencia artificial de ServiceNow, posteriormente identificada como CVE-2025-12420. La falla afectó a VirTual ALos agentes de inteligencia artificial de gent API y Now Assist, así como los investigadores, documentaron que un atacante potencial que explotara y utilizara el problema con éxito podría suplantar la identidad de usuarios arbitrarios, incluyendo administradores, crear cuentas con privilegios, ejecutar flujos de trabajo y obtener el control total del inquilino de ServiceNow de un cliente, con la capacidad de integrarse en sistemas empresariales conectados. La vulnerabilidad se debió a una combinación de una credencial de integración estática, una verificación de identidad insuficiente en la capa de API y agentes de inteligencia artificial que ejecutaban acciones basadas en un contexto de identidad no verificado, eludiendo los controles tradicionales.

ServiceNow coordinó estrechamente con los investigadores que informaron, implementó parches y cambios de configuración a principios de enero de 2026, rotó las credenciales integradas y comunicó las directrices de mitigación directamente a los clientes. No hubo evidencia pública de explotación generalizada. La importancia de este incidente radica menos en los daños observados y más en lo que reveló sobre cómo la automatización y la identidad se entrelazan ahora en las plataformas empresariales. 

Un posible escenario de uso de armas

Un atacante identifica la URL del inquilino de ServiceNow de un cliente y obtiene la dirección de correo electrónico de un usuario con privilegios. Al explotar la API vulnerable del Agente Virtual, el atacante suplanta a dicho usuario sin autenticarse, omitiendo por completo la autenticación multifactor (MFA) y el inicio de sesión único (SSO). 

Usando agentes de IA de Now Assist, el atacante invoca la automatización para crear una nueva cuenta administrativa y asignar roles con privilegios elevados. Estas acciones se ejecutan mediante flujos de trabajo aprobados y se registran como actividad legítima. Posteriormente, el atacante aprovecha las integraciones de ServiceNow para restablecer credenciales en un proveedor de identidad conectado, proporcionar acceso a entornos en la nube o suprimir alertas. 

En este punto, la vulnerabilidad está completamente instrumentalizada. El atacante establece un control administrativo persistente mediante lógica de negocio en lugar de exploits y se mueve lateralmente hacia sistemas posteriores que confían en ServiceNow como plano de control.

Flujo de ataque desde el reconocimiento hasta el compromiso

La identidad de esto: Confianza en tiempo de ejecución para los agentes

Lo que hizo que esta exposición fuera trascendental no fue la falta de controles de seguridad, sino dónde terminaban esos controles. La identidad se verificaba una vez, en un punto de entrada, y luego se consideraba de confianza permanente. Después de ese momento, la identidad ya no se verificaba, revalidaba ni cuestionaba al ejecutar las acciones.

Roy Akerman, vicepresidente de estrategia de seguridad de identidad

Ese modelo falla en los sistemas agénticos. Los agentes son Longeva, autónoma y compositivaOperan a lo largo del tiempo, invocan a otros agentes y desencadenan flujos de trabajo sin intervención humana. Cada acción amplía la confianza en el sistema, pero... La identidad detrás de esas acciones nunca se reafirma ni se reevalúa..

Como resultado, la identidad se convirtió en una etiqueta estática en lugar de un control en tiempo de ejecución. La autoridad se ejercía en el perímetro, mientras que el poder real se ejercía en las profundidades del flujo de ejecución. Cuando la afirmación de identidad original era errónea, todas las decisiones posteriores heredaban ese error.

En un entorno agencial, la identidad debe viajar con la acción. Los agentes necesitan identidades propias, límites claros sobre lo que pueden hacer y reglas explícitas sobre cómo se delega la autoridad entre agentes. Sin validación de identidad en tiempo de ejecución, la automatización no solo avanza más rápido, sino que avanza a ciegas. 

seminario web bajo demanda

El próximo desafío de la identidad: proteger a los agentes de IA

  • Por qué los agentes de IA son un nuevo tipo de identidad
  • Cómo la confianza y la gobernanza influyen en la ecuación
  • Estrategias para proteger a los agentes de IA en su organización
Ver ahora

Lecciones de seguridad de la identidad

Si estás en el flujo de trabajo de construcción/asegurar/barandillaabadejo agentes, Aquí está mi opinión sobre el svarios identidad y Los patrones de fallas en el control de acceso surgieron con una claridad inusual en la forma vulnerable en que se formaron esos agentes y sus credenciales/confianza: 

Suplantación de identidad sin autenticación

La plataforma aceptaba aserciones de identidad basadas en identificadores débiles en lugar de pruebas criptográficas. Las direcciones de correo electrónico funcionaban como tokens de identidad, omitiendo por completo la validación de sesión, la autenticación multifactor (MFA) y los niveles de seguridad. 

Escalada de privilegios más persistencia 

Una vez que la suplantación tuvo éxito, los atacantes no necesitaron explotar adicional vulnerabilidades. Utilizaron flujos de trabajo legítimos para crearla nueva pcuentas privilegiadas y modificar roles el establecimiento persistencia a través de cambios de estado autorizados en lugar de puertas traseras encubiertas. 

Abuso de lógica empresarial y flujo de trabajo

La ruta de explotación dependía de que la automatización aprobada se comportara exactamente como se había diseñado. Flujos de aprovisionamiento, aprobaciones y cambios de configuración. ejecutado Correctamente, solo que bajo una identidad falsa. Esto cambió la superficie de ataque de defectos de código a suposiciones de confianza integradas en la lógica empresarial.

Abuso de confianza entre agentes

Los agentes delegaron autoridad a otros agentes sin revalidar su identidad ni su intención. Esto creó un escenario moderno de delegación confusa, donde la confianza se propagó transitivamente entre agentes, amplificando el impacto de un único contexto de identidad comprometido.

Ejecución de segundo orden

Las entradas de baja confianza desencadenaron acciones de alto privilegio indirectamente a través de intermediador Agentes. La superficie de ataque no fue la manipulación del lenguaje ni el aviso, sino el contexto de ejecución y la autoridad delegada.

Detección y auditoría de la erosión

Cuando la propia capa de identidad se vio comprometida y los atacantes siguieron avanzando hacia arriba, se tomaron medidas Parecía ser Actividad legítima del usuario. Como resultado, la monitorización tradicional basada en la identidad y el análisis del comportamiento perdieron su fiabilidad. En conjunto, estos patrones demostrar que los sistemas agentes erosionan la seguridad tradicional capas a menos que la identidad Los controles son Se aplica de forma continua, contextual y en tiempo de ejecución. Cuando la identidad se considera una suposición en lugar de un control, la automatización se convierte en un acelerador de riesgos en lugar de un multiplicador de fuerza para la seguridad. 

Conclusión: De la mala configuración al siguiente APT

Este flujo de ataque expone una falla sistémica en el diseño y la ejecución de los agentes de IA, en lugar de una falla única. En el flujo de interacción agéntica, la identidad se validó una vez y luego se asumió indefinidamente. La confianza se propagó entre agentes y flujos de trabajo sin revalidación. Cada decisión parecía razonable por separado, pero en conjunto formaban una ruta de ejecución insegura. Estas son vulnerabilidades a nivel de flujo, arraigadas en la forma en que la autoridad se mueve a través de sistemas duraderos, autónomos y compositivos.

El punto ciego no es la calidad del código, sino la continuidad de la confianza. Las organizaciones deben analizar las rutas de confianza inseguras, no solo las configuraciones incorrectas. Los equipos de IAM y seguridad deben asumir que estos errores ocurrirán y aplicarlos. seguridad de identidad en tiempo de ejecución De esta manera, el abuso se detecta y se detiene incluso cuando fallan las suposiciones de diseño. Esto también es un llamado a la comunidad de validación de ataques para que modele rutas de ataque agentic y fallos de propagación de confianza. 

No permita que la velocidad de adopción de la IA y el espíritu de experimentación dejen atrás la identidad. A medida que los sistemas de agencia evolucionan más rápido que los controles tradicionales, la seguridad de la identidad debe expandirse a nuevos territorios: continua, en tiempo real y sensible al contexto. Las organizaciones que adapten la identidad a la forma en que se ejecuta el trabajo serán las que se anticipen a lo que viene.

Esta no es la próxima generación de ataques. Los grupos de ataque ya están incorporando escaneo, evasión de desafíos y explotación de estos patrones de diseño defectuosos en su infraestructura de APT y probándolos contra grandes empresas.

¿Quieres saber más sobre cómo proteger a los agentes de IA?

Descubra cómo unificar el descubrimiento, la evaluación de riesgos y la aplicación en línea para entornos impulsados ​​por IA. 

Más información aquí

Recursos

CVE-2025-12420 
Registro CVE oficial que describe la vulnerabilidad de autenticación y autorización de ServiceNow. 
https://nvd.nist.gov/vuln/detail/CVE-2025-12420 

Aviso de seguridad y notificación al cliente de ServiceNow (Enero 2026) 
Guía oficial de divulgación y remediación de ServiceNow para la vulnerabilidad de Virtual Agent y Now Assist AI. 
https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB0XXXXXX 
(Nota: los avisos de ServiceNow son accesibles para los clientes; los ID de Knowledge Base exactos varían según la instancia). 

Investigación de AppOmni: Vulnerabilidad de inteligencia artificial "BodySnatcher" en ServiceNow 
Análisis técnico detallado de terceros sobre la vulnerabilidad, las rutas de explotación y los patrones de abuso de agentes. 
https://appomni.com/ao-labs/bodysnatcher-agentic-ai-security-vulnerability-in-servicenow/ 

Lectura oscura  
Informes independientes y comentarios de expertos sobre la vulnerabilidad y sus implicaciones para las plataformas SaaS impulsadas por IA. 
https://www.darkreading.com/remote-workforce/ai-vulnerability-servicenow

Aviso de ThaiCERT sobre la vulnerabilidad de la inteligencia artificial de ServiceNow 
Análisis nacional del CERT que destaca el riesgo, los componentes afectados y las recomendaciones de mitigación. 
https://www.thaicert.or.th/en/2026/01/15/critical-ai-driven-vulnerability-discovered-in-servicenow-could-lead-to-full-system-compromise/ 

Nos atrevimos a llevar la seguridad de la identidad aún más lejos.

Descubra lo que es posible.

Configure una demostración para ver el Silverfort Plataforma de seguridad de identidad en acción.

Programe una demostración