Güvenlik araştırmacıları, Ağustos 2025’in başlarında, yaygın olarak benimsenen sır yönetimi çözümü olan Hashicorp kasasında bir dizi kritik sıfır günlük güvenlik açıkını ortaya çıkardılar.
Kimlik doğrulama baypasları, politika uygulama tutarsızlıkları ve denetim-log kötüye kullanımı kapsayan bu kusurlar, kasa sunucularında uzaktan kod yürütme (RCE) ile sonuçlanan uçtan uca saldırı yolları oluşturur.
Mantık seviyesi kusurlarının ilk kanıtı, kasanın istek yönlendirme ve eklenti arayüzlerinin manuel kod incelemelerinden ortaya çıktı ve geleneksel bellek yolsuzluk istismarlarından ziyade gizli mantık uyumsuzluklarını ortaya çıkardı.
Kuruluşlar, çoklu bulut ortamlarında API anahtarlarını, sertifikaları ve şifreleme anahtarlarını korumak için kasaya giderek daha fazla güvenirken, bu kusurların keşfi siber güvenlik topluluğuna şok dalgaları gönderir.
Cyata analistleri, bazı güvenlik açıklarının yaklaşık on yıl boyunca devam ettiğini, sessizce çekirdek kimlik doğrulama akışlarına gömüldüğünü ve sadece yakın zamanda titiz manuel denetim ile maruz kaldığını belirtti.
.webp)
Etki, kavram kanıtı ötesine uzanır: Saldırganlar, kullanıcı geçişlerinde ve LDAP arka uçlarındaki kilitleme korumalarını atlamak için bu sorunları zincirleyebilir, TOTP MFA kısıtlamalarından kaçınır, makine kimliklerini sertifika kimlik doğrulaması yoluyla taklit eder ve son olarak yönetici jetonlarından kökten ayrı ayrı ayrıcalıkları artırır.
Uzaktan kod yürütme tekniği, Vault’un tarihinde yenidir. Tampon taşmalarından yararlanmak yerine, rakipler, Vault’un eklentisi dizinine hazırlanmış bir kabuk yükü enjekte etmek için düz metin olarak yazılan denetim günlüklerinin arşivinden yararlanır.
.webp)
Bir denetim arka ucunu bir gelenekle yapılandırarak prefix Bir Shebang ve Bash komutları içeren saldırganlar, Vault’u yürütülebilir komut dosyaları yazmaya zorlarlar.
Bir TCP-Stream denetim arka uç aracılığıyla tam yükün daha sonra alınması, eşleşen bir SHA256 karmunun hesaplanmasına, Vault’un eklenti kayıt gereksinimlerini karşılamasına ve kod yürütülmesini tetiklemeye olanak tanır.
.webp)
Kuruluşlar, sorumlu açıklamanın yanı sıra yayınlanan yamalı versiyonlara derhal yükseltmeleri istenir. Hashicorp, dokuz CVVE’nin tümünü ele alan danışma güncellemeleri yayınladı, normalleştirme rutinlerini güçlendirdi ve politika kontrollerini sıkılaştırdı.
Cyata ve Hashicorp arasındaki koordineli yanıt, etkili güvenlik açığı yönetimini örneklendirir, ancak standart bulanıklaştırma ve penetrasyon testinin yanı sıra derin mantık doğrulama ihtiyacının altını çizer.
Kalıcılık taktikleri: denetim-log bazlı kabuk enjeksiyonu
En çarpıcı kalıcılık taktiği, Vault’un denetim kaydı alt sistemini kötü niyetli kodları implante etmek için kötüye kullanıyor.
Vault, her biri yapılandırılmış JSON’u yapılandırılabilir dosya modlarına sahip keyfi dosya yollarına yazabilen birden fazla eşzamanlı denetim arka uçını destekler.
Saldırganlar eklenti kataloğu uç noktasını araştırarak başlar (POST /v1/sys/plugins/catalog/:type/:name) var olmayan bir eklenti adıyla, mutlak sızan bir hata ortaya çıkarır plugin_directory yol. Ardından, dosya tabanlı bir denetim arka ucunu etkinleştirirler:-
audit "file" {
log_path = "/opt/vault/plugins/evil.sh"
prefix = "#!/bin/bash\n$(cat /tmp/secret_payload)\n"
mode = "0755"
}Herhangi bir kasa isteği gönderdikten sonra, önek her JSON girişine hazırlanır ve kasanın oluşturmasına neden olur /opt/vault/plugins/evil.sh yürütülebilir izinlerle.
Eşzamanlı olarak, bir TCP denetim arka ucu, aynı yükü saldırgan kontrollü bir sokete aktarır ve kesin baytların karma olabilmesini sağlar. Son olarak, düşman sorunları:-
vault write sys/plugins/catalog/secret/evil \
sha256="" command="evil.sh"Vaul daha sonra yüklenir evil.sh Bir eklenti olarak, kasa işleminde yürütülmesi ve keyfi kod yürütme ayrıcalıkları verilmesi.
Aşağıdaki tablo anahtar CVE’leri, teknik kök nedenlerini ve saldırgan etkilerini numaralandırırken:-
| CVE | Ana neden | Saldırgan etkisi |
|---|---|---|
| CVE-2025-6004 | Kullanıcı adı kilitleme bypass vaka ve beyazlık üzerinden | Sınırsız kaba kuvvet girişimleri; Kullanıcı adı numaralandırması |
| CVE-2025-6011 | Var olmayan kullanıcılar için bcrypt atlama ile zamanlama farkı | Kullanıcı Adı Doğrulama Oracle; Hedeflenen kimlik bilgisi saldırıları |
| CVE-2025-6003 | MFA Bypass username_as_alias=true ve entityId uyumsuzluğu |
Belirli LDAP yapılandırmaları altında TOTP gereksinimini sessizce atlar |
| CVE-2025-6016 | Kombine TOTP mantık kusurları (tekrar, hız sınırı kaçırma) | Brute-Force geçerli TOTP kodları; Bir kerelik kullanım ve hız sınırlama |
| CVE-2025-6037 | CN CRE CERT AUTTH’DE İNCELEMEMEDİ | Geçerli genel anahtarla keyfi makine kimliklerinin kimliğine bürünmesi |
| CVE-2025-5999 | Politika Normalleştirme Uyumsuzluğu | Yönetici atayabilir " root" veya büyük harf "ROOT" Politika adları artırmak için root ayrıcalıklar |
| CVE-2025-6000 | Eklenti oluşturma için denetim-log önek kötüye kullanımı | Kötü amaçlı denetim-destekli eklenti kaydı yoluyla bellek bozulması olmadan uzaktan kod yürütme |
Bu mantık seviyesi güvenlik açıkları dalgası, bellek güvenli mimarilerin bile girdi normalizasyonu ve politika uygulama ayrıştığında kritik kusurları barındırabileceğini vurgular.
Siber güvenlik ekipleri, düşmanlardan yararlanmadan önce ince güven model tutarsızlıklarını ortaya çıkarmak için kapsamlı kaynak analiziyle siyah kutu testini artırmalıdır.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın