Cyata’daki araştırmacılar, yaygın olarak benimsenen açık kaynaklı sırlar yönetim platformu olan Hashicorp Kasası’nda daha önce bilinmeyen dokuz sıfır günlük güvenlik açıkını açıkladılar ve saldırganların kimlik doğrulamasını atlamalarını, ayrıcalıkları artırmasını ve uzaktan kod uygulamasını (RCE) elde etmelerini sağladılar.
Sorumlu ifşa yoluyla CVE’ler atanan ve Hashicorp ile işbirliği içinde yamalı bu kusurlar, kimlik doğrulama arka uçları, çok faktörlü kimlik doğrulama (MFA) uygulama, politika normalizasyonu ve eklenti işleme gibi temel bileşenlerdeki ince mantık hatalarından kaynaklanmaktadır.
Hem açık kaynaklı hem de kurumsal baskıları etkileyen güvenlik açıkları, Vault’un güven modelindeki sistemik zayıflıkları vurgular, burada yanlış yakınlaştırmaların riskleri arttırarak potansiyel olarak altyapı çapında uzlaşmaya yol açar.
Sorunlar, CVE-2025-6004’ün kullanıcı adı vaka permütasyonları yoluyla kilitleme baypasına izin verdiği, arıza sayaçlarını sıfırlama ve kaba kuvvet saldırılarını kolaylaştıran UserPass arka uçtan başlayarak birden fazla kimlik doğrulama yöntemini kapsar.
Benzer şekilde, CVE-2025-6011, tutarsız BCrypt karma karşılaştırmaları yoluyla zamanlama tabanlı kullanıcı adı numaralandırmasını ve geçerli kullanıcı varlığını sızdırmaz.
LDAP entegrasyonlarında, CVE-2025-6004, tonoz ve harici sunucular arasındaki giriş normalleştirme uyumsuzluklarını kullanır, milyarlarca şifre tahminlerine, değişen gövde ve beyaz alanlarla izin verir, etkili bir şekilde kaba kuvvet korumalarını geçersiz kılar.
CVE-2025-6003 ayrıca, USERNAME_AS_ALIAS etkin ve varlık düzeyinde uygulama ile yapılandırmalarda MFA bypass’ı sağlar ve varlık kimliği çözünürlük hataları nedeniyle gerekli zorlukları tetiklemez.
userpassTOTP MFA korumaları, hata mesajları aracılığıyla kullanılan şifre numaralandırması, boşluk dolgusu yoluyla bir kerelik kullanım bypass (doğrulama ve önbellekleme arasındaki tutarsızlıklar) ve zaman çarpıklığı veya varlık anahtarlama yoluyla hız sınırlama evasyonu dahil olmak üzere CVE-2025-6016 kapsamındaki toplu kusurlar tarafından zayıflatılır.
Bunlar, geçerlilik pencereleri içindeki kaba zorlayıcı MFA kodlarına izin vererek ikinci faktörün etkinliğini azaltır.
Sertifika tabanlı kimlik doğrulaması, CVE-2025-6037’den muzdarip, burada Non-CA modunun yalnızca kamu anahtarlarını doğruladığı, saldırganların Forge Ortak İsimlerine (CNS) özel anahtar erişimi olan ve kuruluşları taklit etmesi, ilişkili politikaları devralma ve yanal hareketi sağlayan.
Ayrıcalık artışı, CVE-2025-5999 aracılığıyla elde edilir, politika normalleştirme uyumsuzluklarından yararlanır: Doğrulama tam “kök” atamalarını reddeder, ancak “kök” veya “kök” geçiş kontrolleri ve çalışma zamanındaki tam kök ayrıcalıklarına normalleştirerek yönetici kullanıcılarının sınırsız kontrol kazanmasına izin verir.
CVE-2025-6000 ile doruklanma Saldırganlarındaki ilk kamu RCE, eklenti dizinine yürütülebilir yükleri yazmak için, hata mesajları aracılığıyla ortaya çıkan, yürütülebilir modları ayarlamak, çift arka uçlar aracılığıyla karmaları yakalayan ve eklentiler olarak yükleyerek, rastgele kodlar olarak yükleyin.
Yaklaşık on yıl boyunca mevcut olan bu zincir, bellek yolsuzluğu olmadan güvenilir özelliklerden yararlanır.
Altyapı güvenliği için çıkarımlar
Bazıları sekiz ila dokuz yıl öncesine dayanan bu güvenlik açıkları, kullanıcı geçişlerini, LDAP ve CERT yöntemlerini hedefleyen yollarda gösterildiği gibi, ilk kimlik doğrulama bypass’ından kök artışına ve RCE’ye kadar kullanılabilir zincirler oluşturur.
Sıkıştırma sonrası riskler, şifreleme anahtarı silme yoluyla fidye yazılımı veya kontrol grubu yıkım yoluyla gizli kalıcılığı içerir.
Rapora göre, Cyata’nın metodolojisi, talep işleme ve kimlik mantığının manuel kod incelemesini vurguladı ve otomatik araçlarla göz ardı edilen kusurları ortaya çıkardı.
Kuruluşlar yamalı sürümlere yükseltme, Username_as_alias gibi savunmasız ayarlar için denetim yapılandırmaları veya izinli politikalar olmalı ve anormal kimlik doğrulama girişimlerini izlemelidir.
Bu açıklama, Vault gibi güven ankrajlarındaki mantık kusurlarının tüm güvenlik modellerini yıkabileceğini ve sırlar yönetiminde titiz kimlik ve politika uygulamalarını çağırabileceğini vurgulamaktadır.
The Ultimate SOC-as-a-Service Pricing Guide for 2025– Ücretsiz indir