HashiCorp, Vault yazılımında, saldırganların kimlik doğrulama kontrollerini atlamasına ve hizmet reddi (DoS) saldırıları başlatmasına olanak verebilecek iki kritik güvenlik açığını açıkladı.
23 Ekim 2025’te yayınlanan bu kusurlar, hem Vault Community Edition’ı hem de Vault Enterprise’ı etkileyerek yükseltmeler için acil önerilerde bulunulmasına neden oluyor.
CVE-2025-12044 ve CVE-2025-11621 olarak takip edilen sorunlar, kaynak işleme ve kimlik doğrulama önbelleğine almadaki yanlış yapılandırmalardan kaynaklanıyor ve potansiyel olarak kurumsal ortamlardaki hassas verilerin açığa çıkmasına neden oluyor.
Sır yönetimi, şifreleme ve kimlik tabanlı erişim için yaygın olarak kullanılan bir araç olan Vault, bulut ve hibrit altyapılarda güvenli operasyonlar için temel taşı görevi görüyor.
Bu güvenlik açıkları, özellikle kuruluşların AWS entegrasyonu gibi otomatik kimlik doğrulama yöntemlerine giderek daha fazla güvendiği bir dönemde, performansı güçlü güvenlikle dengeleme konusunda süregelen zorlukların altını çiziyor.
JSON Yükü İstismarından Kaynaklanan Hizmet Reddi Kusuru
İlk güvenlik açığı olan CVE-2025-12044 (HCSEC-2025-30), JSON veri yükü işlemedeki bir gerilemeden yararlanarak kimliği doğrulanmamış bir DoS saldırısına olanak tanır.
Bu kusur, kaynakları tüketebilecek karmaşık JSON yüklerini ele alan HCSEC-2025-24’e yönelik önceki bir düzeltmeden kaynaklanmaktadır.
Etkilenen sürümlerde Vault, hız sınırlarını önce değil, gelen JSON isteklerini ayrıştırdıktan sonra uygulayarak saldırganların sistemi max_request_size eşiğinin altında büyük, geçerli verilerle doldurmasına olanak tanıyor.
Operatörler, kötüye kullanımı önlemek için Vault’ta ayarlanabilir hız sınırlarını ve kaynak kotalarını yapılandırır, ancak bu sıralama hatası, tekrarlanan isteklerin aşırı CPU ve bellek tüketmesine neden olur.
Sonuç? Hizmetin kullanılamaması veya doğrudan çökmeler, kritik sırlara ve anahtarlara erişimi kesintiye uğratır. Hemen bir CVSS puanı sağlanmadı, ancak doğrulanmamış doğası, HashiCorp’un yüksek risk olarak değerlendirdiği ciddiyetini artırıyor.
Bu sorun, Vault Community Edition’ın 1.20.3 ila 1.20.4 arasındaki sürümlerini etkilemektedir ve düzeltmeler 1.21.0’da mevcuttur.
Vault Enterprise için etkilenen sürümler 1.20.3 – 1.20.4, 1.19.9 – 1.19.10, 1.18.14 – 1.18.15 ve 1.16.25 – 1.16.26 arasında olup 1.21.0, 1.20.5, 1.19.11 ve 1.16.27’de yamalanmıştır.
AWS ve EC2 Yöntemlerinde Kimlik Doğrulama Atlaması
İkinci güvenlik açığı olan CVE-2025-11621 (aynı zamanda HCSEC-2025-30), Vault’un AWS Auth yönteminde kimlik doğrulamanın atlanmasına izin vererek daha da ciddi bir tehdit oluşturuyor.
Bu yöntem, IAM sorumluları ve EC2 bulut sunucuları için jeton alımını otomatikleştirir, ancak önbelleğe alma mantığındaki bir kusur, AWS hesap kimliğini doğrulamayı başaramaz.
Bound_principal_iam rolü hesaplar arasında eşleşiyorsa veya joker karakterler kullanıyorsa, farklı bir hesaptaki bir saldırgan meşru bir kullanıcının kimliğine bürünebilir ve bu da yetkisiz erişime, verilerin açığa çıkmasına ve ayrıcalık artışına yol açabilir.
Paralel bir sorun, önbellek aramalarının hesap kimliklerini değil yalnızca AMI kimliklerini kontrol ettiği EC2 kimlik doğrulama yöntemini etkileyerek hesaplar arası saldırılara olanak tanıyor.
Açıklamayı HashiCorp ile koordine eden güvenlik araştırmacısı Pavlos Karakalidis tarafından keşfedilen bu kusur, çok hesaplı kurulumlarda joker karakter yapılandırmalarının risklerinin altını çiziyor.
Etkilenen sürümler daha geniştir: Vault Community Edition 0.6.0’dan 1.20.4’e (1.21.0’da düzeltildi) ve Vault Enterprise 0.6.0’dan 1.20.4’e, ayrıca 1.19.10, 1.18.15 ve 1.16.26’ya (1.21.0, 1.20.5, 1.19.11’de düzeltildi) 1.16.27).
| CVE Kimliği | Tanım | Etkilenen Ürünler/Sürümler | CVSS Puanı | Sürümleri Düzelt |
|---|---|---|---|---|
| CVE-2025-12044 | JSON verileri aracılığıyla kimliği doğrulanmamış DoS | Topluluk: 1.20.3-1.20.4 Kurumsal: 1.20.3-1.20.4, 1.19.9-1.19.10, 1.18.14-1.18.15, 1.16.25-1.16.26 |
Yüksek (tahmini) | Topluluk: 1.21.0 Kurumsal: 1.21.0, 1.20.5, 1.19.11, 1.16.27 |
| CVE-2025-11621 | Önbellek hatası yoluyla AWS/EC2 kimlik doğrulamasını atlama | Topluluk: 0.6.0-1.20.4 Kurumsal: 0.6.0-1.20.4, 1.19.10, 1.18.15, 1.16.26 |
Yüksek | Topluluk: 1.21.0 Kurumsal: 1.21.0, 1.20.5, 1.19.11, 1.16.27 |
Azaltmalar
HashiCorp, resmi yükseltme kılavuzunu izleyerek yamalı sürümlere derhal yükseltme yapılması çağrısında bulunuyor.
Güncellemeyi hemen yapamayanlar için AWS kimlik doğrulama yapılandırmalarını inceleyin: Bound_principal_iam’deki joker karakterleri ortadan kaldırın ve hesaplar arasındaki rol adı çakışmalarını denetleyin. Mümkün olduğunda daha sıkı hesap kimliği doğrulamasını etkinleştirin.
Bu güvenlik açıkları, saldırganların ilk dayanak noktası olarak bu araçları hedef alması nedeniyle sır yönetimi araçlarına yönelik incelemelerin arttığı bir dönemde ortaya çıkıyor. Vault’u üretimde kullanan kuruluşlar, daha geniş ihlallere yol açabilecek istismara karşı koruma sağlamak için yama uygulamasına öncelik vermelidir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
