HashiCorp, Vault ve Vault Enterprise’da saldırganların kimlik doğrulama mekanizmalarını atlamasına ve altyapıya yönelik hizmet reddi saldırıları başlatmasına olanak verebilecek iki kritik güvenlik açığını açıkladı.
HCSEC-2025-31 Bülten Kimliği altında tanımlanan ilk güvenlik açığı, Vault’un JSON verilerini işleme biçimindeki bir gerilemeden kaynaklanıyor.
HashiCorp’un 23 Ekim 2025’te yayınlanan açıklamasına göre güvenlik açığı, kimliği doğrulanmamış saldırganların özel hazırlanmış JSON istekleri göndererek hizmet reddi koşullarını tetiklemesine olanak tanıyor.
Güvenlik açığı, hız sınırlama mekanizmalarının daha önce değil, JSON yükünün işlenmesinden sonra uygulanması ve tekrarlanan istekler yoluyla kaynakların tükenmesine olanak sağlaması nedeniyle ortaya çıkmaktadır.
CVE-2025-12044 ve CVE-2025-11621 olarak takip edilen güvenlik açıkları, yaygın olarak kullanılan sır yönetimi çözümlerinde ortaya çıkan risklerin altını çiziyor ve etkilenen kuruluşların derhal ilgilenmesini gerektiriyor.
Tehdit aktörleri, CPU ve bellek kaynaklarını tüketmek için bu zayıflıktan yararlanarak hizmetin kullanılamamasına veya sistemin tamamen çökmesine neden olabilir.
Etkilenen sürümler arasında Vault Community Edition 1.20.3 ila 1.20.4 ve 1.16.25 ila 1.20.4 arasındaki birden fazla kurumsal sürüm yer alıyor.
Sorun, benzer JSON işleme sorunlarını ele alan önceki bir güvenlik düzeltme ekinden bir gerilemeyi temsil ediyor; bu da iyileştirme çabalarının, temeldeki güvenlik açığını yanlışlıkla farklı bir biçimde yeniden ortaya çıkardığına işaret ediyor.
HashiCorp Kasası Güvenlik Açıkları
HCSEC-2025-30 Bülten Kimliği altında CVE-2025-11621 olarak takip edilen ikinci güvenlik açığı, Vault’un AWS kimlik doğrulama yönteminde kimlik doğrulamayı atlamayı etkinleştirerek daha ciddi bir risk oluşturuyor.
Bu güvenlik açığı, Vault Community Edition 0.6.0’dan 1.20.4’e kadar olan sürümleri ve ilgili kurumsal sürümleri etkiler.
Farklı AWS hesaplarında aynı IAM rol adına sahip veya joker karakter yapılandırmaları nedeniyle eşleşen bir saldırgan, uygun kimlik bilgileri olmadan meşru kullanıcılar olarak kimlik doğrulaması yapabilir.
Güvenlik açığı, Vault’un AWS kimlik doğrulama yöntemindeki hatalı önbellek doğrulamasından kaynaklanıyor. STS rollerini doğrularken sistem, AWS’deki rolün varlığını kontrol eder ancak ilişkili hesap kimliğini doğrulayamaz.
Bu gözetim, önemli bir güvenlik açığı yaratır: Bir operatör, birden fazla AWS hesabına yayılmış joker karakterlerle veya aynı rol adlarıyla Bound_Principal_arn’ı yapılandırırsa, farklı bir hesaptaki bir saldırgan, kimlik doğrulama belirteçleri düzenleyebilir ve hassas sırlara ve altyapı kimlik bilgilerine yetkisiz erişim sağlayabilir.
İlgili bir sorun, Vault’un EC2 kimlik doğrulama yöntemini etkiliyor; burada önbellek aramaları, hesap kimliklerini doğrulamadan yalnızca AMI kimliklerini doğruluyor.
Bu güvenlik açıkları, hesaplar arası ayrıcalık yükseltmeye olanak tanıyarak saldırganların farklı AWS hesaplarından kimlik doğrulaması yapmasına ve potansiyel olarak kurumsal sınırlar arasında yanal hareket gerçekleştirmesine olanak tanır.
HashiCorp, etkilenen tüm müşterilerin derhal yamalı sürümlere yükseltme yapmalarını öneriyor: Vault Community Edition 1.21.0 veya Vault Enterprise 1.21.0, 1.20.5, 1.19.11 ve 1.16.27.
Yükseltme yapamayan kuruluşlar, rol adı çakışmaları açısından AWS kimlik doğrulama yöntemi yapılandırmalarını incelemeli ve Bound_Principal_iam ayarlarından joker karakterleri kaldırmalıdır.
Güvenlik açıkları, Adfinis AG’den Toni Tauro ve Pavlos Karakalidis tarafından keşfedildi. Vault’un kuruluşlar genelinde şifreleme anahtarlarını, veritabanı kimlik bilgilerini ve API belirteçlerini yönetmedeki kritik rolü göz önüne alındığında, bu güvenlik açıkları, sırların yönetimi için Vault’a güvenen kuruluşlar için önemli risk oluşturmaktadır.
Kuruluşlar, özellikle hesaplar arası erişim modelleriyle AWS kimlik doğrulama yöntemlerinden yararlanan yama uygulama çalışmalarına öncelik vermelidir.
DoS ve kimlik doğrulama atlama güvenlik açıklarının birleşimi, mevcut Vault dağıtımlarının sürdürülmesinin ve altyapı güvenliği için derinlemesine savunma stratejilerinin uygulanmasının önemini göstermektedir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.