Cyberark’s Conjur ve Hashicorp’un Vault Enterprise Secrets yönetim platformlarını açan toplam 14 ortak güvenlik açık ve maruziyeti (CVES), bu hafta, ajan kimlik alanında çalışan, İsrail merkezli bir girişim olan Cyata’daki araştırmacılar tarafından keşfedildikten sonra ele alındı ve açıklandı.
Bir bütün olarak ele alındığında, kritik konular neredeyse her Fortune 500 organizasyonunu koruyan sır yönetimi sistemlerinin “tam olarak uzlaşmasını” gösterdi. Konvansiyonda beş ve kasada dokuz konudan oluşan güvenlik açığı seti, muhtemelen birkaç yıldır sömürülebilir ve uzaktan kod yürütülmesini (RCE) sağlayan sorunları içermektedir.
Cyata CEO’su ve Check Point mezunları Shahar Tal, açıklamaların kurumsal güvenlik için en kötü senaryoyu temsil ettiğini söyledi.
“Saldırganlar kasayı herhangi bir kimlik doğrulaması olmadan tehlikeye atabildiklerinde, kelimenin tam anlamıyla krallığın anahtarlarını kazanırlar – her veritabanına, her API’ye erişim [application programming interface]tüm bir kuruluştaki her bulut kaynağı ”dedi.
“Bazı durumlarda, tek bir kimlik doğrulanmamış API isteği ile tam tonoz uzlaşması elde ettik – kimlik bilgileri yok, sürtünme yok.”
Konjur güvenlik açıkları arasında dikkat çeken, hizmetin varsayılan Amazon Web Hizmetleri (AWS) entegrasyon kurulumundan kaynaklanan eksiksiz, kimlik doğrulanmamış bir RCE zinciridir.
Saldırganlar kasayı herhangi bir kimlik doğrulaması olmadan tehlikeye atabildiklerinde, Krallığın anahtarlarını kazanırlar – her veritabanına, her API’ye, bir kuruluştaki her bulut kaynağına erişim
Shahar Tal, Cyata
Bunu kullanmak, bir saldırganın geçerli kimlik bilgileri, jetonlar ve hatta gerçek bir AWS hesabı olmadan tam sistem kontrolü kazanmasını sağlayacaktır.
Söz konusu saldırı zinciri, AWS Güvenlik Token Hizmeti (STS) doğrulamasını bir saldırgan tarafından kontrol edilen bir sunucuya yönlendiren bir Kimlik ve Erişim Yönetimi (IAM) kimlik doğrulama baypasıyla başlar.
Bu koşul elde edildi, saldırgan, tek bir kimlik bilgisi sağlamadan istedikleri herhangi bir AWS kimliğini taklit edebilir, daha sonra her adımın çok geç olana kadar yerinden görünmeyen varsayılan davranışları kullandığı “sorunsuz, başlangıçtan sondan yüzeye” istismar zincirinde uzaktan kod yürütülmesini sağlamak için kendi ana bilgisayarlarını oluşturmak ve kontrol etmek için tırmanabilir.
İstismar zinciri 23 Mayıs 2025’te kuruluşun ifşa politikalarına göre Cyberark’a bildirildi ve kapsamdaki beş CVVE 19 Haziran’da yayınlanmaya başladı.
Güven güvenilemezken
Sıfır günleri olarak sınıflandırılan dokuz Hashicorp CVE seti, etkin saldırganlar ve kasanın 10 yıllık geçmişinde bildirilen ilk tanımlanmış RCE güvenlik açığını, neredeyse uzun süredir sömürülebilir görünen bir kusurdan kaynaklanıyor.
Toplu olarak, güvenlik açıkları, kasanın geleneksel kullanıcı adları ve şifreler, hafif dizin erişim protokolü (LDAP) ve çok faktörlü kimlik doğrulama (MFA) gibi en popüler kimlik doğrulama yöntemlerini etkiledi.
Cyata’nın araştırmacıları, sorunların tamamen bireysel olarak ve birlikte ele alınan mantık kusurlarından ve başarısızlıklardan kaynaklandığını, yanlış yakınlaştırmaların ve aşırı izinlerin yaygın olabileceği gerçek dünya dağıtımlarında tehlikeli saldırı yolları oluşturduğunu söyledi.
CVE-2025-6000 olarak izlenen RCE kusuru, bir saldırganın kötü niyetli bir özel eklenti oluşturabileceği bir zincirin sonunda ortaya çıkar.
Bu hedefe başarılı bir şekilde ulaşabilir ve saldırılarını yürütebilirlerse, saldırganlar kurbanlarının ortamlarına kalıcı ve düşük görünürlük erişimine ulaşabilirler. Ancak daha çok, Vault’un şifreleme mekanizmasını baş aşağı çevirebilir ve koruyucu bir önlemden fidye yazılımı gasp saldırısındaki bir bileşene dönüştürebilirler.
Kasası, şifre çözme için gerekli belirli bir dosya ile diskte şifrelenmiş kritik politikaları, sırları ve jetonları depoladığı için mümkündür. Ancak birisi bu dosyayı silerse, kasa şifreleme anahtarına kalıcı olarak erişimi kaybedecek ve bir yönetici bile geri alamayacak, dedi Cyata.
Cyberark’ta olduğu gibi, güvenlik açıkları Mayıs ayında Hashicorp’a açıklandı ve CVES 12 Haziran’da kasanın açık kaynak ve işletme versiyonlarında yayınlandı.
CISOS için ipuçları
TAL ile birlikte, Cyata baş araştırmacısı Yarden Porat, koordineli açıklama duyurusunun yanı sıra bu hafta Black Hat USA’daki bulguları gösterdi. Firma ayrıca güvenlik uygulayıcılarının daha ayrıntılı teknik detaylar, uzlaşma göstergeleri (IOCS) ve diğer yararlı araçlar bulabileceği özel bir açılış sayfası oluşturdu.
Güvenlik ekipleri, herhangi bir şüpheli etkinlik için kasa erişim günlüklerini gözden geçirmek, yeni yayınlanan algılama araçlarını kullanarak potansiyel uzlaşmaları belirlemek ve açıklanmış senaryolar için olay müdahale planlarını hazırlamak için çalışmaya başlamalıdır.
Cyata, kasa sistemleri etrafında daha fazla izleme ve erişim kontrolü uygulamayı düşünmek de akıllıca olacaktır.