Los investigadores de seguridad descubrieron una serie de vulnerabilidades críticas de día cero en Hashicorp Bault a principios de agosto de 2025, la solución de gestión de secretos ampliamente adoptada.
Estas defectos, que abarcan la autenticación, se pasa por alto, las inconsistencias de aplicación de políticas y el abuso de registro de auditoría, crean rutas de ataque de extremo a extremo que culminan en la ejecución de código remoto (RCE) en los servidores de bóveda.
La evidencia inicial de los defectos a nivel de lógica surgió de las revisiones de código manual de las interfaces de enrutamiento de solicitudes y el complemento de Vault, revelando desajustes lógicos sigilosos en lugar de exploits de corrupción de memoria convencionales.
A medida que las organizaciones confían cada vez más en la bóveda para salvaguardar las claves de las API, los certificados y las claves de cifrado en entornos de múltiples nubes, el descubrimiento de estos defectos envía ondas de choque a través de la comunidad de seguridad cibernética.
Analistas de Cyata anotado que algunas vulnerabilidades persistieron durante casi una década, en silencio incrustado en flujos de autenticación central y recientemente expuesto por una auditoría manual meticulosa.
Flujo de inicio de sesión de pasos de usuario (fuente – CATA
El impacto se extiende más allá de la prueba de conceptos: los atacantes pueden encadenar estos problemas para evitar las protecciones de bloqueo en el paso de usuarios y los backends LDAP, evadir las restricciones de TOTP MFA, suplantación de identidades de la máquina a través de la autenticación de certificados y finalmente aumentar los privilegios de los tokens de administración a la raíz.
La técnica de ejecución del código remoto es novedosa en la historia de Vault. En lugar de explotar los desbordamientos del búfer, los adversarios aprovechan el archivo de registros de auditoría, escritos en texto sin formato, para inyectar una carga útil de shell diseñada en el directorio de complementos de Vault.
Flujo de inicio de sesión LDAP (fuente – CYATA)
Al configurar un backend de auditoría con un prefijo personalizado que contiene un comandos shebang y bash, los atacantes obligan a la bóveda de escribir scripts ejecutables.
La recuperación posterior de la carga útil exacta a través de un back-end de auditoría TCP-tre-stream permite el cálculo de un hash SHA256 coincidente, satisfaciendo los requisitos de registro de complementos de Vault y la ejecución del código de activación.
Cadena de exploites (Fuente – Cyata)
Se insta a las organizaciones a actualizar de inmediato a las versiones parcheadas lanzadas junto con la divulgación responsable. Hashicorp ha emitido actualizaciones de asesoramiento que aborden las nueve CVE, reforzando las rutinas de normalización y los controles de la política de ajuste.
La respuesta coordinada entre CYATA y HashiCorp ejemplifica un manejo efectivo de vulnerabilidad, pero subraya la necesidad de una validación lógica profunda junto con las pruebas de pelusa y penetración estándar.
Tácticas de persistencia: inyección de shell basada en la sesión de auditoría
La táctica de persistencia más llamativa abusa del subsistema de registro de auditoría de bóveda para implantar el código malicioso.
Vault admite múltiples backends de auditoría concurrentes, cada uno capaz de escribir JSON estructurado a rutas de archivo arbitrarias con modos de archivo configurables.
Los atacantes comienzan al sondear el punto final del catálogo del complemento (post/v1/sys/plugins/catálogo/: type/: name) con un nombre de complemento inexistente, provocando un error que filtra la ruta absoluta complementaria_directory. A continuación, habilitan un backend de auditoría basado en archivos:-
Audit “File” {log_path = “/opt/Vault/plugins/evil.sh” prefix = “#!/bin/bash \ n $ (cat/tmp/secret_payload) \ n” mode = “0755”}
Al enviar cualquier solicitud de bóveda, el prefijo se prefiere a cada entrada de JSON, lo que hace que Vault cree /opt/Vault/plugins/evil.sh con permisos ejecutables.
Simultáneamente, una auditoría de TCP back-end transmite la carga útil idéntica a un enchufe controlado por el atacante, asegurando que los bytes exactos se puedan acumular. Finalmente, los problemas del adversario:-
Vault escribe sys/plugins/catáloga/secret/malvado \ sha256 = “” command = “Evil.sh”
Vault luego carga Evil.sh como complemento, ejecutándolo dentro del proceso de bóveda y otorgando privilegios de ejecución de código arbitrario.
Mientras que la siguiente tabla enumera las CVE clave, sus causas de raíz técnica e impactos del atacante:–
CVEROOT CauseAtTacker ImpactCVE-2025-6004 UserName Bypass a través de Case e intentos de fuerza bruta de WhitespaceSunlimited; Nombre de usuario EnumerationCVE-2025-6011 Diferencia en el salto bcrypt para los usuarios inexistentes ORACLE de validación de nombre de nombre; Attack de credencial dirigido-2025-6003MFA Bypass cuando username_as_alias = true y entityid no coincide con el requisito de TOTP bajo ciertas configuraciones LDAP-2025-6016 Combinadas fallas lógicas TOTP (Repleta, Limitación de velocidad) Codes de TOTP válidos de TOTP; omitir el uso único y la limitación de la velocidad-2025-6037cn sin control en la autodimensionación de certificado de no CA de las identidades arbitrarias de la máquina con la clave pública válida-2025-5999 Normalización de la cantidad de la cantidad de mismatchadmin “Los nombres de políticas de” raíz “o los” raíz “para los” Ejecución de código sin corrupción de memoria a través del registro de complementos con respaldo de auditoría de auditoría maliciosa
Esta ola de vulnerabilidades de nivel lógico destaca que incluso las arquitecturas seguras de memoria pueden albergar defectos críticos cuando la normalización de la entrada y la aplicación de políticas divergen.
Los equipos de ciberseguridad deben aumentar las pruebas de caja negra con un análisis de origen exhaustivo para descubrir sutiles inconsistencias de modelos de confianza antes de que los adversarios las exploten.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
