Siber güvenlik araştırmacıları, başarılı bir şekilde sömürülürse, uzak saldırganların açık kurumsal kimlik sistemlerini kırmasına ve onlardan kurumsal sır ve jeton çıkarmasına izin verebilecek Cyberark ve Hashicorp’tan kurumsal güvenli tonozlarda bir düzineden fazla güvenlik açığı keşfettiler.
Bir kimlik güvenlik firması Cyata’nın bir raporuna göre, toplu olarak Vault Hata adı verilen 14 güvenlik açığı, Cyberark Sırları Yöneticisini, kendi kendine barındırılan ve Conjur açık kaynak ve Hashicorp kasası etkiler. Mayıs 2025’te sorumlu açıklamanın ardından, kusurlar aşağıdaki sürümlerde ele alınmıştır –
Bunlar, kimlik doğrulama baypasları, kimliğe bürünme, ayrıcalık artış hataları, kod yürütme yolları ve kök jeton hırsızlığı içerir. Sorunların en şiddetli olanı, uzaktan kod yürütülmesine izin vererek, saldırganların geçerli herhangi bir kimlik bilgisi olmadan belirli koşullar altında kasayı ele geçirmesine izin verir –
- CVE-2025-49827 (CVSS Puanı: 9.1) – Cyberark Sırlar Yöneticisinde IAM Kimlik Doğrulamasının Bypass’ı
- CVE-2025-49831 (CVSS Puanı: 9.1) – Yanlış yapılandırılmış bir ağ cihazı aracılığıyla Cyberark Sırlar Yöneticisinde IAM kimlik doğrulayıcısının baypas
- CVE-2025-49828 (CVSS Puanı: 8.6) – Cyberark Sırlar Yöneticisinde Uzak Kod Yürütme
- CVE-2025-6000 (CVSS Puanı: 9.1) – Hashicorp kasasında eklenti kataloğu kötüye kullanımı yoluyla keyfi uzaktan kod yürütme
- CVE-2025-5999 (CVSS Puanı: 7.2) – Hashicorp Kasası’nda politika normalleştirme yoluyla kök salmaya ayrıcalık artışı
Buna ek olarak, Hashicorp Vault’un kaba kuvvet denemelerini kısmak için tasarlanmış olan ve bir saldırganın, zamanlama tabanlı bir yan kanaldan yararlanarak hangi kullanıcı adlarının geçerli olduğunu çıkarmasına izin verebilecek ve hatta bilinen bir kullanıcı adının (örneğin yöneticiden yönetici) durumunu değiştirerek, kullanıcı adlarının geçerli olduğunu çıkarmasına izin verebilecek güvenlik açıkları da keşfedilmiştir.
İsrail şirketi tarafından tanımlanan diğer iki eksiklik, lokakut uygulanmasını zayıflatmayı ve username_as_alias = ldap auth konfigürasyonunda ve MFA uygulamalarında true entityID veya IdentityGroup düzeyinde uygulandığında, çok faktörlü kimlik doğrulama (MFA) kontrollerini atlamayı mümkün kıldı.
Siber güvenlik şirketi tarafından detaylandırılan saldırı zincirinde, kimlik doğrulama katmanını kırmak, ayrıcalıkları artırmak ve kod yürütme elde etmek için CVE-2025-5999 ve CVE-2025-6000 ile bir sertifika varlığı taklit sorununu (CVE-2025-6037) kullanmak mümkündür. CVE-2025-6037 ve CVE-2025-6000’in sırasıyla sekiz ve dokuz yıldan fazla olduğu söylenir.
Bu kabiliyetle donatılmış bir tehdit oyuncusu, “Core/HSM/_Barrier-Sneal-Keys” dosyasını silmek için erişimini daha da silahlandırabilir ve bir güvenlik özelliğini etkili bir şekilde bir fidye yazılımı vektörüne dönüştürebilir. Dahası, Kontrol Grubu özelliği, HTTP isteklerini göndermek ve denetlenmeden yanıt almak ve gizli bir iletişim kanalı oluşturarak yanıt almak için zayıflatılabilir.
Güvenlik araştırmacısı Yarden Porat, “Bu araştırma, kimlik doğrulama, politika uygulama ve eklenti yürütmenin, belleğe dokunmadan, kazaları tetiklemeden veya kriptografiyi kırmadan mantık hatalarıyla nasıl yıkılabileceğini gösteriyor.” Dedi.
Benzer bir şekilde, Cyberark Sırlar Yöneticisi/Conjur’da keşfedilen güvenlik açıkları, kimlik doğrulama baypası, ayrıcalık artışı, bilgi açıklaması ve keyfi kod yürütülmesine izin verir, bir saldırganın yetkilendirilmemiş erişim elde etmek ve keyfi komutları çalıştırmak için bir istismar zinciri oluşturabileceği bir senaryoya etkili bir şekilde açılır.
Saldırı dizisi aşağıdaki gibi ortaya çıkıyor –
- Geçerli görünümlü getCalleridentity yanıtlarını oluşturarak kimlik doğrulama bypass
- Bir politika kaynağı olarak kimlik doğrulaması
- Geçerli bir politika şablonunu taklit eden yeni bir ev sahibi oluşturmak için ev sahibi fabrika uç noktasını kötüye kullanın
- Doğrudan ana bilgisayara kötü niyetli bir gömülü yakut (ERB) yükü atandı
- Politika fabrikası uç noktasını çağırarak ekli ERB’nin yürütülmesini tetikleyin
Porat, “Bu istismar zinciri, bir şifre, jeton veya AWS kimlik bilgileri sağlamadan tam uzaktan uzak kod yürütülmesine kimlik doğrulanmamış erişimden geçti.”
Açıklama, Cisco Talos’un Dell’in ControlVault3 ürün yazılımında ve Windows girişini atlamak, kriptografik anahtarları çıkarmak için saldırganlar tarafından istismar edilebilecek ilişkili Windows API’larında ayrıntılı güvenlik kusurları olarak gelir.
Birlikte, bu güvenlik açıkları, yüksek değerli ortamlara gizli erişim için güçlü bir uzaktan kumanda sonrası kalıcılık yöntemi oluşturur. Belirlenen güvenlik açıkları aşağıdaki gibidir –
- CVE-2025-25050 (CVSS Puanı: 8.8)-CV_UPGRAMS_SENSOR_FIRMWARE işlevinde, sınır dışı bir yazmaya yol açabilecek sınırsız bir yazma güvenlik açığı vardır.
- CVE-2025-25215 (CVSS Puanı: 8.8) – CV_CLOSE işlevselliğinde keyfi bir serbestliğe yol açabilecek keyfi bir ücretsiz güvenlik açığı vardır.
- CVE-2025-24922 (CVSS Puanı: 8.8) – SecureBio_Identify işlevselliğinde, keyfi kod yürütülmesine yol açabilecek yığın tabanlı bir arabellek taşma güvenlik açığı mevcuttur.
- CVE-2025-24311 (CVSS Puanı: 8.4)-CV_SEND_BLOCKDATA işlevselliğinde bilgi sızıntısına yol açabilecek sınır dışı okunan bir güvenlik açığı vardır.
- CVE-2025-24919 (CVSS Skoru: 8.1) – CVHDecapsulatecmd işlevselliğinde, keyfi kod yürütülmesine yol açabilecek güvenilmeyen giriş güvenlik açığının seansize edilmesi vardır.
Güvenlik açıkları Revault kodlandı. Broadcom BCM5820X Serisi yongaları çalıştıran 100’den fazla Dell dizüstü bilgisayar modeli etkilenir. Vahşi doğada güvenlik açıklarının kullanıldığına dair bir kanıt yoktur.
Siber güvenlik şirketi ayrıca, bir kullanıcının dizüstü bilgisayarına fiziksel erişimine sahip yerel bir saldırganın onu açabileceğini ve birleşik güvenlik merkezi (USH) kartına erişebileceğini ve bir saldırganın tam bilgeli bir şifreleme şifresine giriş yapması veya sahip olması gerekmeden beş güvenlik açığından yararlanmasına izin verebileceğini belirtti.
Cisco Talos araştırmacısı Philippe Laulheret, “Revault saldırısı, Windows’un yeniden yüklenmesinde bile kalabilen bir kontromise sonrası kalıcılık tekniği olarak kullanılabilir.” Dedi. “Revault saldırısı, Windows girişini atlamak ve/veya herhangi bir yerel kullanıcının yönetici/sistem ayrıcalıkları kazanması için fiziksel bir uzlaşma olarak da kullanılabilir.”
Bu kusurların ortaya koyduğu riski azaltmak için kullanıcılara Dell tarafından sağlanan düzeltmeleri uygulamaları önerilir; Parmak İzi Okuyucuları, Akıllı Kart Okuyucuları ve Yakın Alan İletişim (NFC) okuyucuları gibi çevre birimleri kullanılmıyorsa, ControlVault Hizmetlerini Devre Dışı Bırak; ve yüksek riskli durumlarda parmak izi girişini kapatın.