Wiele podatności w HashiCorp Vault

HashiCorp Vault to popularne, otwartoźródłowe narzędzie do zarządzania poufnymi danymi, takimi jak klucze API, certyfikaty, hasła czy tokeny. Z racji przechowywanych danych, Vault jest cennym celem dla włamywaczy – uzyskanie dostępu do Vault pozwala na dostęp do wszystkich usług, do których sekrety są w nim przechowywane.

TLDR:

• badacze z firmy Cyata przeprowadzili analizę narzędzia HashiCorp Vault
• znalezionych zostało 9 podatności, w tym RCE
• 1 błąd uzyskał poziom krytyczny, 1 wysoki, kilka zostało sklasyfikowanych na poziomie średnim

Badacze z firmy Cyata postanowili wziąć to rozwiązanie na celownik i poszukać w nim błędów. Efekt? Twierdzą, że znaleźli 9 podatności, którym przydzielono CVE, a niektóre z z nich istnieją w kodzie Vaulta od niemal dekady. Oto niektóre znaleziska:

CVE-2025-6004 – Obejście blokowania konta przy nieudanych próbach logowania przez zmianę wielkości liter (medium)

Zmiana wielkości liter w nazwie atakowanego konta pozwala na zresetowanie licznika prób logowania, mającego za zadanie ograniczenie możliwości ataku siłowego (brute force) na logowanie.

CVE-2025-6010 – ujawnienie szczegółów podatności zostało wstrzymane na prośbę twórcy oprogramowania.

CVE-2025-6011 – Enumeracja kont oparta na czasie odpowiedzi (low)

W przypadku gdy użytkownik nie istnieje, obliczanie hasha bcrypt jest pomijane, co powoduje różnicę w czasie odpowiedzi. Pozwala ona napastnikowi określić, czy konto, na które próbował się zalogować, istnieje w systemie.

CVE-2025-6013 – obejście wymogu uwierzytelniania wieloskładnikowego przez username_as_alias oraz EntityID (medium)

W przypadku ustawienia w LDAP opcji username_as_alias=true oraz wykorzystywania EntityID lub IdentityGroup do wymuszania uwierzytelniania wieloskładnikowego (MFA), można doprowadzić do obejścia drugiego składnika uwierzytelniania.

CVE-2025-6037 – Podszycie się pod podmiot certyfikatu (medium)

W przypadku wykorzystania trybu non-CA dla uwierzytelniania przy pomocy certyfikatów klienckich, nie są one prawidłowo walidowane. Pozwala to atakującemu, posiadającego dostęp do Vault przy pomocy certyfikatuj, na jego modyfikację  i w efekcie podszycie się pod innego użytkownika.

CVE-2025-5999 – Eskalacja do użytkownika root przy pomocy normalizacji polityk (high)

Podczas przetwarzania żądania, na przykład przy próbie dostępu do endpointa z użyciem tokenu, Vault przeprowadza normalizację żądania, poprzez usunięcie spacji i zamianę liter na małe. Atakujący korzystając z faktu normalizacji wprowadzanych danych jest w stanie podać ciąg na przykład  “ root” (ze spacją na początku), który po normalizacji stanie się ciągiem “root”. Pozwala to na obejście zabezpieczenia, które miało w założeniu zapobiegać takiej sytuacji i zabraniało politykom zawierania użytkownika root (komunikat błędu “policies cannot contain root”).

CVE-2025-6000 – RCE via plugin catalog abuse (critical)

Atakujący z uprawnieniami root w aplikacji może ustalić ścieżkę do katalogu pluginów, wskazać go jako katalog logów audytowych, a następnie zapisać dowolny payload. W momencie rejestracji pluginu, do czego dodatkowo potrzebna jest znajomość sumy kontrolnej pliku, następuje wykonanie kodu. Autorom udało się znaleźć sposób na pobranie sumy kontrolnej pliku w taki sposób, że skonfigurowali jednoczesną wysyłkę logów do pliku, jak i na kontrolowany przez siebie socket TCP (odtworzenie lokalnie pliku logu jest wystarczające do obliczenia sumy kontrolnej). Umożliwiło im to podgląd zapisywanych do pliku treści, łącznie z dodawanymi danymi, takimi jak na przykład znaczniki czasu.

CVE-2025-6014 – Reuse of TOTP code (medium)

Możliwe jest powtórne wykorzystanie kodu TOTP w okresie jego ważności.

CVE-2025-6015 – MFA rate limit bypass (medium)

Możliwe jest obejście rate limitingu dla kodów MFA poprzez wykorzystanie ich normalizacji.

Szczegółowe opisu błędów, ich wpływ oraz timeline zgłoszenia znajdziecie w obszernym artykule na blogu firmy Cyata, do którego lektury zachęcamy.

Podatności zostały zgłoszone przez badaczy do HashiCorp w maju i załatane w czasie krótszym niż miesiąc. Wersja Vault Community Edition 1.20.1 zawiera stosowne poprawki, zostały wydane także łatki dla wszystkich wspieranych linii Vault Enterprise. Upewnijcie się, że korzystacie z aktualnych wersji.

~Paweł Różański