-
09/04/2020
-
110
-
1.022 bài viết
Lỗ hổng CyberArk và HashiCorp cho phép chiếm quyền Vault từ xa không cần xác thực
Các nhà nghiên cứu an ninh mạng đã phát hiện14 lỗ hổng nghiêm trọng trong hệ thống secure vault của CyberArk và HashiCorp. Nếu bị khai thác thành công, những lỗ hổng này cho phép kẻ tấn công chiếm quyền kiểm soát hệ thống quản lý danh tính của doanh nghiệp và truy xuất các bí mật, token quan trọng.
Bộ 14 lỗ hổng này được đặt tên chung là Vault Fault, ảnh hưởng tới CyberArk Secrets Manager, Self-Hosted, Conjur Open Source và HashiCorp Vault. Theo công ty nghiên cứu bảo mật Cyata, các vấn đề này đã được công bố có trách nhiệm vào tháng 5 năm 2025 và hiện đã có bản vá trong các phiên bản mới nhất.
Các bản vá gồm CyberArk Secrets Manager và Self-Hosted phiên bản 13.5.1 và 13.6.1, CyberArk Conjur Open Source phiên bản 1.22.1, HashiCorp Vault Community Edition 1.20.2, Vault Enterprise 1.20.2, 1.19.8, 1.18.13 và 1.16.24.
Một số lỗ hổng nghiêm trọng đã được định danh và chấm điểm CVSS như sau:
HashiCorp Vault còn tồn tại các vấn đề liên quan đến cơ chế lockout. Lỗi trong chức năng bảo vệ lockout cho phép kẻ tấn công suy đoán username hợp lệ thông qua kênh bên dựa trên thời gian và đặt lại bộ đếm lockout bằng cách thay đổi chữ hoa hoặc chữ thường của tên tài khoản, ví dụ từ admin thành Admin.
Ngoài ra còn có thể bỏ qua kiểm tra xác thực đa yếu tố (MFA) khi tùy chọn username_as_alias=true được bật trong cấu hình LDAP và MFA được áp dụng ở mức EntityID hoặc IdentityGroup.
Hơn nữa, tính năng Control Group có thể bị lợi dụng để gửi và nhận yêu cầu HTTP mà không bị ghi nhận trong log, tạo ra một kênh liên lạc ẩn, khó phát hiện.
Theo chuyên gia bảo mật Yarden Porat, các phát hiện này cho thấy khả năng phá vỡ hoàn toàn các lớp xác thực, cơ chế thực thi policy và plugin chỉ bằng lỗi logic. Các tấn công này không yêu cầu khai thác bộ nhớ, gây crash hay phá vỡ thuật toán mã hóa.
Để giảm thiểu rủi ro, cần nâng cấp hệ thống lên phiên bản đã được vá, rà soát kỹ cấu hình IAM, LDAP, MFA và plugin catalog. Đồng thời nên theo dõi sát sao các hoạt động bất thường liên quan đến Host Factory, Policy Factory và Control Group để kịp thời phát hiện hành vi khai thác.
Bộ 14 lỗ hổng này được đặt tên chung là Vault Fault, ảnh hưởng tới CyberArk Secrets Manager, Self-Hosted, Conjur Open Source và HashiCorp Vault. Theo công ty nghiên cứu bảo mật Cyata, các vấn đề này đã được công bố có trách nhiệm vào tháng 5 năm 2025 và hiện đã có bản vá trong các phiên bản mới nhất.
Các bản vá gồm CyberArk Secrets Manager và Self-Hosted phiên bản 13.5.1 và 13.6.1, CyberArk Conjur Open Source phiên bản 1.22.1, HashiCorp Vault Community Edition 1.20.2, Vault Enterprise 1.20.2, 1.19.8, 1.18.13 và 1.16.24.
Một số lỗ hổng nghiêm trọng đã được định danh và chấm điểm CVSS như sau:
- CVE-2025-49827 (CVSS 9.1): Bỏ qua IAM authenticator trong CyberArk Secrets Manager
- CVE-2025-49831 (CVSS 9.1): Bỏ qua IAM authenticator thông qua thiết bị mạng cấu hình sai
- CVE-2025-49828 (CVSS 8.6): Thực thi mã từ xa trong CyberArk Secrets Manager
- CVE-2025-6000 (CVSS 9.1): Thực thi mã từ xa qua lạm dụng plugin catalog trong HashiCorp Vault
- CVE-2025-5999 (CVSS 7.2): Leo thang đặc quyền lên root thông qua policy normalization
- CVE-2025-6037 (CVSS chưa công bố): Giả mạo chứng chỉ entity trong HashiCorp Vault
HashiCorp Vault còn tồn tại các vấn đề liên quan đến cơ chế lockout. Lỗi trong chức năng bảo vệ lockout cho phép kẻ tấn công suy đoán username hợp lệ thông qua kênh bên dựa trên thời gian và đặt lại bộ đếm lockout bằng cách thay đổi chữ hoa hoặc chữ thường của tên tài khoản, ví dụ từ admin thành Admin.
Ngoài ra còn có thể bỏ qua kiểm tra xác thực đa yếu tố (MFA) khi tùy chọn username_as_alias=true được bật trong cấu hình LDAP và MFA được áp dụng ở mức EntityID hoặc IdentityGroup.
Chuỗi tấn công điển hình trên HashiCorp Vault
Chuỗi tấn công có thể bắt đầu từ lỗ hổng giả mạo chứng chỉ entity CVE-2025-6037. Tiếp đó, kẻ tấn công lợi dụng lỗ hổng leo thang đặc quyền CVE-2025-5999 để giành quyền quản trị cấp cao, rồi khai thác lỗ hổng trong plugin catalog CVE-2025-6000 nhằm thực thi mã từ xa trên hệ thống Vault. Khi đã kiểm soát hoàn toàn, chúng có thể xóa tệp core/hsm/_barrier-unseal-keys, khiến cơ chế bảo mật bị vô hiệu hóa và biến Vault thành công cụ tống tiền khi hệ thống không thể mở khóa và truy cập dữ liệu như bình thường.Hơn nữa, tính năng Control Group có thể bị lợi dụng để gửi và nhận yêu cầu HTTP mà không bị ghi nhận trong log, tạo ra một kênh liên lạc ẩn, khó phát hiện.
Chuỗi tấn công điển hình trên CyberArk Secrets Manager và Conjur
Trên nền tảng CyberArk, một cuộc tấn công có thể bắt đầu bằng việc kẻ tấn công giả mạo phản hồi của lệnh GetCallerIdentity nhằm vượt qua cơ chế xác thực IAM, sau đó đăng nhập như một tài nguyên thuộc chính sách hợp lệ. Tiếp theo, chúng lạm dụng tính năng Host Factory để tạo một host mới mạo danh template đáng tin cậy và gắn kèm payload Embedded Ruby độc hại. Khi payload này được kích hoạt thông qua Policy Factory, mã độc sẽ được thực thi từ xa, cho phép kẻ tấn công chiếm quyền điều khiển hệ thống mà không cần mật khẩu, token hay thông tin xác thực AWS.Theo chuyên gia bảo mật Yarden Porat, các phát hiện này cho thấy khả năng phá vỡ hoàn toàn các lớp xác thực, cơ chế thực thi policy và plugin chỉ bằng lỗi logic. Các tấn công này không yêu cầu khai thác bộ nhớ, gây crash hay phá vỡ thuật toán mã hóa.
Để giảm thiểu rủi ro, cần nâng cấp hệ thống lên phiên bản đã được vá, rà soát kỹ cấu hình IAM, LDAP, MFA và plugin catalog. Đồng thời nên theo dõi sát sao các hoạt động bất thường liên quan đến Host Factory, Policy Factory và Control Group để kịp thời phát hiện hành vi khai thác.
Theo The Hacker News