Главная / В 2026 году была обнаружена уязвимость BodySnatcher в платформе ServiceNow, позволявшая неаутентифицированному злоумышленнику выдавать себя за любого пользователя, используя только email и общий секрет платформы, обходя MFA и SSO. Почему традиционные средства защиты оказались неэффективны и какой фундаментальный принцип безопасности агентных систем был нарушен?

В 2026 году была обнаружена уязвимость BodySnatcher в платформе ServiceNow, позволявшая неаутентифицированному злоумышленнику выдавать себя за любого пользователя, используя только email и общий секрет платформы, обходя MFA и SSO. Почему традиционные средства защиты оказались неэффективны и какой фундаментальный принцип безопасности агентных систем был нарушен?

04.04.2026 02:20
Обновлено: 04.04.2026 02:20
кибербезопасностьуязвимостиаутентификацияагентные системыServiceNow

Подробное объяснение

Традиционные средства защиты MFA и SSO оказались бессильны, потому что они защищают этап интерактивной аутентификации пользователя, а в данной атаке злоумышленник вообще не проходил аутентификацию как пользователь. Вместо этого он использовал общеплатформенный жестко зашитый секрет, который система принимала как достаточное основание для действий от имени любого пользователя, фактически заменяя проверку личности на проверку знания общего секрета. Нарушенным фундаментальным принципом безопасности агентных систем стало избыточное доверие к агенту и делегирование проверки личности общему секрету, не привязанному к конкретному пользователю в момент вызова, что противоречит требованию криптографической привязки контекста идентичности и полномочий к субъекту.

Часто задаваемые вопросы (FAQ)

1 Что такое уязвимость BodySnatcher (CVE-2025-12420)?
Это критическая уязвимость в платформе ServiceNow, обнаруженная в 2026 году, которая позволяла неаутентифицированному атакующему выдавать себя за любого пользователя, включая администраторов, используя только email жертвы и общеплатформенный секрет, обходя многофакторную аутентификацию и SSO.
2 Почему MFA не защитила от этой атаки?
MFA защищает этап интерактивной аутентификации пользователя, но в этой атаке злоумышленник не проходил аутентификацию вообще - система принимала общеплатформенный секрет как достаточное основание для действий от имени пользователя, минуя стандартные проверки личности.
3 Какой урок безопасности можно извлечь из этой уязвимости?
Нельзя делегировать проверку личности и полномочий общим секретам или неперсонализированным механизмам. Агентные системы должны требовать криптографически привязанный к пользователю контекст идентичности на момент каждого вызова действия.

Типичные ошибки

1 Считать, что MFA и SSO всегда защищают от всех типов атак на аутентификацию
MFA и SSO эффективны только при защите стандартного процесса интерактивной аутентификации, но не могут предотвратить атаки, которые обходят этот процесс через уязвимости в архитектуре самой платформы или механизмах доверия.
2 Думать, что проблема была только в хранении секрета
Основная проблема не просто в том, что секрет был жестко зашит, а в том, что этот общий секрет использовался как основание для полного доверия к действиям от имени любого пользователя без дополнительной проверки личности и контекста.
3 Считать, что достаточно просто обновить или изменить секрет
Простая замена секрета не решает архитектурную проблему - фундаментальное нарушение заключается в самой концепции использования общего секрета для делегирования полномочий без привязки к конкретному пользователю и моменту времени.
На главную
Все теги На главную О проекте

Установите расширение Poresh.Ai

Решайте тесты мгновенно с помощью искусственного интеллекта прямо в браузере

Автоматическое распознавание вопросов
ИИ-анализ и подробные объяснения
Работает на любых образовательных платформах
Безопасно и конфиденциально
Установить расширение Основной сайт