La autenticación, la aplicación de políticas y la ejecución de plugins pueden subvertirse mediante errores lógicos
Investigadores de ciberseguridad han descubierto más de una docena de vulnerabilidades en las bóvedas seguras empresariales de CyberArk y HashiCorp que, si se explotan con éxito, pueden permitir a atacantes remotos abrir los sistemas de identidad corporativa y extraer de ellos secretos y tokens empresariales.
Las 14 vulnerabilidades, denominadas colectivamente Vault Fault, afectan a CyberArk Secrets Manager, Self-Hosted, Conjur Open Source y HashiCorp Vault, según un informe de la empresa de seguridad de identidad Cyata. Tras una divulgación responsable en mayo de 2025, las fallas se han corregido en las siguientes versiones:
• CyberArk Secrets Manager and Self-Hosted 13.5.1 y 13.6.1
• CyberArk Conjur Open Source 1.22.1
• HashiCorp Vault Community Edition 1.20.2 or Vault Enterprise 1.20.2, 1.19.8, 1.18.13, y 1.16.24
Estos incluyen omisiones de autenticación, suplantación de identidad, errores de escalada de privilegios, rutas de ejecución de código y robo de tokens raíz. El problema más grave permite la ejecución remota de código, lo que permite a los atacantes tomar el control de la bóveda en ciertas condiciones sin credenciales válidas:
• CVE-2025-49827 (CVSS score: 9.1) - Bypass of IAM authenticator in CyberArk Secrets Manager
• CVE-2025-49831 (CVSS score: 9.1) - Bypass of IAM authenticator in CyberArk Secrets Manager via a misconfigured network device
• CVE-2025-49828 (CVSS score: 8.6) - Remote code execution in CyberArk Secrets Manager
• CVE-2025-6000 (CVSS score: 9.1) - Arbitrary remote code execution via plugin catalog abuse in HashiCorp Vault
• CVE-2025-5999 (CVSS score: 7.2) - Privilege escalation to root via policy normalization in HashiCorp Vault
Además, también se han descubierto vulnerabilidades en la lógica de protección de bloqueo de HashiCorp Vault, que está diseñada para limitar los intentos de fuerza bruta, que podrían permitir a un atacante inferir qué nombres de usuario son válidos aprovechando un canal lateral basado en tiempo e incluso reiniciar el contador de bloqueo cambiando el caso de un nombre de usuario conocido (por ejemplo, admin a Admin).
Otras dos deficiencias identificadas por la empresa israelí permitieron debilitar la aplicación del bloqueo y eludir los controles de autenticación multifactor (MFA) cuando username_as_alias=true en la configuración de autenticación LDAP y la aplicación de MFA se aplica en el nivel EntityID o IdentityGroup.
En la cadena de ataque detallada por la empresa de ciberseguridad, es posible aprovechar un problema de suplantación de entidad de certificado (CVE-2025-6037) con CVE-2025-5999 y CVE-2025-6000 para vulnerar la capa de autenticación, escalar privilegios y lograr la ejecución de código. Se dice que CVE-2025-6037 y CVE-2025-6000 existen desde hace más de ocho y nueve años, respectivamente.
Con esta capacidad, un actor de amenazas podría utilizar el acceso para eliminar el archivo "core/hsm/_barrier-unseal-keys", convirtiendo así una función de seguridad en un vector de ransomware. Además, la función Grupo de Control puede ser vulnerada para enviar solicitudes HTTP y recibir respuestas sin ser auditada, creando así un canal de comunicación oculto.
"Esta investigación muestra cómo la autenticación, la aplicación de políticas y la ejecución de plugins pueden subvertirse mediante errores lógicos, sin afectar la memoria, provocar fallos ni romper la criptografía", dijo el investigador de seguridad Yarden Porat.
