Source: appomni.com — Aaron Costello (AppOmni) publie une analyse technique détaillée de « BodySnatcher » (CVE-2025-12420), une vulnérabilité critique touchant ServiceNow Virtual Agent API et l’application Now Assist AI Agents, permettant à un attaquant non authentifié d’usurper n’importe quel utilisateur à partir de son e‑mail, de contourner MFA/SSO et de piloter des workflows d’agents IA avec des privilèges élevés.
• Nature de la faille et impact: La combinaison d’un secret partagé au niveau plateforme et d’une logique d’auto‑liaison de comptes basée uniquement sur l’adresse e‑mail a permis à un attaquant distant d’usurper l’identité de n’importe quel utilisateur (y compris administrateur) et d’exécuter des agents IA pour créer des comptes backdoor et accorder des rôles administrateurs, exposant potentiellement des données sensibles (SSN, santé, finances, PI). L’auteur qualifie cette faille de plus sévère vulnérabilité IA agentique découverte à ce jour.
• Chaîne d’exploitation (haut niveau): Des « providers » IA utilisaient une Message Auth avec un secret statique commun et une auto‑liaison sans MFA fondée sur l’e‑mail, ouvrant une voie d’usurpation via Virtual Agent API. L’application Now Assist A2A convertit ensuite les requêtes au format Virtual Agent et déclenche le topic interne AIA‑Agent Invoker AutoChat, permettant l’exécution d’agents IA en dehors des canaux attendus. Un PoC montre la création d’un utilisateur puis l’attribution du rôle administrateur via un agent IA fourni par défaut (supprimé depuis), avec validations « supervisées » contournées par des messages de confirmation séquencés.
• Versions affectées et correctifs:
- Now Assist AI Agents (sn_aia): versions 5.0.24 – 5.1.17 et 5.2.0 – 5.2.18; versions corrigées: 5.1.18 et 5.2.19.
- Virtual Agent API (sn_va_as_service): versions ≤ 3.15.1 et 4.0.0 – 4.0.3; versions corrigées: 3.15.2 et 4.0.4.
- Action requise: les clients on‑prem doivent mettre à jour vers les versions corrigées; aucune action requise pour les clients cloud‑hosted.
- Chronologie: signalé à ServiceNow le 23 oct. 2025, remédié et communiqué aux clients le 30 oct. 2025.
• Recommandations de l’éditeur: Renforcer les contrôles de configuration des providers (en particulier exiger le MFA pour l’account linking et implémenter la logique MFA dans l’Automatic link action), instaurer un processus d’approbation des agents IA (via AI Control Tower) et gérer le cycle de vie (désactiver/supprimer les agents inactifs). AppOmni souligne que les correctifs ponctuels ne suffisent pas à éliminer le risque systémique issu de configurations et agents IA mal sécurisés.
IOCs et TTPs:
- IOCs: Aucun indicateur (IP, domaines, hachages) fourni dans l’article.
- TTPs (exemples) :
- Abus de secret statique partagé au niveau plateforme (broken authentication).
- Auto‑liaison de comptes basée sur l’e‑mail, sans MFA, menant à l’usurpation d’identité.
- Détournement de Virtual Agent API et de l’A2A comme chemins d’exécution non prévus.
- Invocation du topic interne AIA‑Agent Invoker AutoChat pour exécuter des agents IA privilégiés.
- Utilisation d’agents IA pour création de comptes et élévation de privilèges (flux supervisés validés par messages supplémentaires).
🔎 Il s’agit d’un rapport technique détaillé visant à documenter la vulnérabilité, son exploitation possible, les versions affectées et les mesures de remédiation/conformité à appliquer.
🧠 TTPs et IOCs détectés
TTP
[‘Abus de secret statique partagé au niveau plateforme (broken authentication)’, ‘Auto‑liaison de comptes basée sur l’e‑mail, sans MFA, menant à l’usurpation d’identité’, ‘Détournement de Virtual Agent API et de l’A2A comme chemins d’exécution non prévus’, ‘Invocation du topic interne AIA‑Agent Invoker AutoChat pour exécuter des agents IA privilégiés’, ‘Utilisation d’agents IA pour création de comptes et élévation de privilèges (flux supervisés validés par messages supplémentaires)’]
🔗 Source originale : https://appomni.com/ao-labs/bodysnatcher-agentic-ai-security-vulnerability-in-servicenow/