Hashicorp Vault & Cyberark conjur komprotitiert

Hashicorp Vault & Cyberark conjur komprotitiert

Lucas Morel

Sicherheitsforscher Haben Gravierende Schwachstellen dans Den Beiden Populären, Quellloffenen Secrets-Management-Systemen Aufgedeckt.

Dans Enterprise-Umgebungen übersteigt die anzahl nicht-menschlicher identitäten (wie sie beispelsweise von anwentengen und maschinen verwendet werden), die anzahl menschlicher identitäten schätzungsweise um das 150-fache. Damit Sind Credential- oder Secrets-Management-Systeme Eine Kritische Komponente der it-infrastruktur. Umso Fataler Sind die Erkenntnisse, die Sicherheitsexperten des identités-s-spezialisten cyata bei der analyser zweier weit verbreiteter open-source-lösungen in diesem bereich gewonnen Haben.

Demnach Wiesen Verschiedene Komponenten von Vault Hashicorp und Cyberark conjur INSGESAMT 14 LOGISCHE SCHWACHSTELLEN AUF. Diese Ermöglichten Den Forschern Zufolge Unter Anderem,

  • Authentifinizierungsprüfungen zu umgehen,
  • AUF Die dans Den Systemen Gespeicherten Zugangsdaten Zuzugreifen, UND
  • Aus der Ferne Code Auszuführen.

«Weil Secrets-Management-Systeme Die Anmeldedaten, Token und Zertifikate Speichern, Die Den Zugriff Auf Systeme, Dienste, APIS und Daten Regeln, Sind Sie Nicht Nur Teil Des Trust Model Verloren », Warnen Die Sicherheitsexperten dans Ihrem Blogbeitrag. Ihre Erkenntnisse Präsentitierten Sie auch auf der Security-Konferenz Black Hat USA à Las Vegas.

Auch Wenn Die Schwachstellen dans Hashicorp Vault und Cyberark conjur Inzwischen Gepatcht Wurden, Sind Die Erkenntnisse der Forscher Beänstigend. Schließlich Speichern Die Beiden Secrets-Management-Systeme Nicht Nur Zugangsdaten und Andere Geheime Informationen. SIE Ertöglichen den Anwendern Auch, Richtlien Für den Zugriff auf und die Verwendung dieser secrets zu définiaren, audits durchzuführen und Vieles mehr.

Wie cyberark conjur gehackt wurde

Chaîne d’attaque, die Die Cyata-Experten dans Zusammenhang Mit Cyberark conjury Entdeckt Haben, a démarré le mit einem einfachen fehler im Code, Der Zum Einsatz Kommt, um aws-iAM-IDentitäten Zu Validieren. Dabei Unterstützt conjur für aws-stanzen die Authentifizierung übern den Huseigenen Security Token Service (STS). Das Ertöglicht ES, Workflows OHNE FEST CODIERTE ANMELDEDATEN ZU Authentifizeren. Dazu genelier eine aws-stanz einen Signierten Header, den conjur dann ann stts weiterleitet.

Der Service Validiert Die Signatur und gibt die Identität der Instanz Zurück. Allerdings Sind Sts-Server Regionssspezifisch: Instanzen dans les États-Unis-East-1 Müssen Beispielsweise Sts.us-East-1.Amazonaws.com Verwenden. Conjur ermittelt die richtige sts-région Anhand des im Signière en tête enthaltennen hostnnamens der Instanz. Problème DAS: Der Hostname IM Header Kann von Angreifern Kontrolliert Werden. Das wäre normalerweise kein Problem, weil eine gefälschte signatur im Regelfall die validinerungsprüfung einer légitime stts-stanz nicht bestehen würde.

Allerdings konnte conjung wegen des fehlers im code keine sonderzeichen im hostnamen bereinigen. Alors War es Den Forschern Möglich, Eine Anfrage Mit Einem Hostnamen wie s.cyata.ai? Zu Erstellen, den conjur Anschließend dans s.cyata.ai?.amazonaws.com Umwandelte. Dans Der Praxis Wird Jedoch der Teil Nach dem hinzugefügten fragezeichen dans les URL ignoriert, sodass die anfragen an sts.cyata.ai gesendet wurden (einen maliziösen sts-server, der unter der kontrolle der forscher stand) und died Validier bestanden. «Das War Der erste Schritt dans Der Kette, Der es Nicht-authentifizierten Angreifern Ermöglicht, dans Das System Einzudringen und dabei als légitime Aws-Identität Zu erscheinen», Konsatieren Die SicherHerheitsexperten.

Die Forscher Untersuchten Zudem, Wie Sich Das Ressourcenmodell von conjud missbrauchen lässt. Paramètre dieses verwendet drei, die auch bei api-abfragen zum einsatz kommen:

  • Compte (conjur-konto-name),
  • Kind (Ressourcentyp – Hôte, Benutzer, variable, Richtlinie, etc.) Sowie
  • Identifiant (Eindeutiger RessourCenname).

Diesbezüglich fanden die forscher Heraus, dass die authentifilifierungslogik von con den ressourcentyp- «teil» einer identität nicht validitierte. Donc War es Ihnen Dann Möglich, Ihre Gefälschte aws-Identität Zu Verwenden, Um Sich als Benutzer Oder Richtlinie IM System Zu Authentifizeren – Anstelle Eines Hosts. «Dieser schritt hat ein nees niveau Eröffnet und aus einem nicht-authentifiziertem zugriff eine signifikante angriffsfläche in condewing geschaffen», Unterstrechen die experts. «Durch Die Kombination Einer Gefälschten Sts-Antwort, Einer RichtlinienIntität ANSTELLE EINES HOSTS UND SCHWACHSTELLEN IM HOST-FACTORY-ABLAUF KONNTEN WIR NEUE HOSTS ESTTELLEN, DEREN NAMEN UND PROPLICATION VOLLSTäNDIG Unter Unter Kontrolle Standon.»

Im nächsten Schritt nahmen die die cyata-experten auch die politique usine von conjur in aUnschein – einen mécanisme, mit dem administrateur wiederverwendbare richtlienvorlagen auf neue Ressourcen anwenden können. Modèles de Diese Können Auch Enthalten Ruby (Erb)-Code Enthalten. Das Ziel der Forscher: modèle Ein MIT croybigem erb-code zu erstellen und code den éloigné Auszuführen. Die Forscher Stellten Fest, Dass Richtlien-Templates dans Der Secrets-Tabelle von conjur Gespeichert Waren. Dabei Sollten Diese Lediglich Ressourcen VOM TYP «Variable» Zugewiesen Werden. Dans Der Praxis Wurde Diese Einschränkung dans Cyberarks Secrets-Management-Tool Allerdings Nicht Durchgesetzt: «Das War Der Letzte Schritt, Der Für Eine Vollumfängliche Exécution du code distant Nötig War. Variable.

Cyberark Hat Die Beschriebenen Schwachstellen IM Juni 2025 behoben und fünf séparé cves Veröffentlicht.

Wie Hashicorp Vault Gehackt Wurde

Hashicorps Open-Source-System Vault Erfüllt Einen ähnlichen Zweck wie Cyberark conjury und ist Auch dans Einer Enterprise-Edition Erhältlich. Anwender Legen Hier Geheime Informationen AB, Die Eingesetzt Werden, Um sich dans Verteilten Systemen Innerhalb von Multi-dd Hybrid-Cloud-Umbungen Zu Authentifizeren. Wie bei conjur überprüften die cyata-forscher auch den code von vault manuell und konzentrierten sich dabei auf logikfehler in kompontenten, die für die authentifizierung und die durchsetzung von richtlien verantwortlich sind. Das Förderte NEUN SCHWACHSTELLEN ZUTAGE, DARUNTER AUCH EINE, über die Remote Code Exécution Möglich War.

Die Forscher Untersuchten Zunächst Die Am Häufigsten Verwendenten Authentifizierungsmethoden von Vault:

  • Das Herkömmliche Benutzername-Passwort-Verfahren (UserPass-Methode),
  • LDAP, DAS AUF Directory Services Wie Active Directory Oder Openldap Basiert, Sowie
  • Die Zertifikat-Basierte Authentifizierung über tls, die häufig für die kommunikation zwischen maschinen verwendet wird.

Bei der userpass-méthode fanden sie eine schwachstelle, die es angreifern einerseits ermöglichte, festzustellen, ob ein benutzername existant. Andererseits auch die möglichkeit eröffnete, brute-force-scutzmaßnahmen zu umgehen, die nach mehreren fehlgeschlagenen anmeldeversuchen das betreffende konto sperren sollten. Ähnliche Umgehungsmöglichkeiten Deckten Die Forscher Auch à Zusammenhang Mit Ldap Auf – Insbesondere Mit Blick auf multi-faktor authentifizierung (MFA): Bugs in Dem in Vielen Deployments aktivizierten totp-methode) Ermöglichten es eBenfalls, brute-force-scutzmaßnahmen zu umgehen und mfa codes zu « erraten » ohne eine kontosperrung zu Triggern.

Bei der Authentifizierung auf zertifikatbasis entdeckten die forscher einen weiteren logikfehler. So überprüfte Hashicorp Vault in diesem chall Lediglich, ob der public key des tls-client-zertifikats mit dem angehefteten zertifikat übereinstimmt – ließ dabei aber den zertifikatsnamen (zn) aUßen vor. Da Vault Den Zn-Wert Verwendet, Um eine Interne Entityid Zuzuordnen, Könnten Angreifer Mit Zugriff auf den Key private Einen Gültigen Public Key Und Eine Gefälschte Zn erstellen und sich so mit einer falschen identität « schmücken ». Eine weitere schwachstelle ermöglichte laut den sicherheitsprofis außerdem eine rechteausweitung, die administrateur-konten mit root-zugriff ausstattete. Das Sollte Das Hashicorp-Tool Standardmäßig Eigentlich Verhindern, Um Das Risiko Einer Vollständigen Komprotierung Zu Minmileren.

Die laut den forschern kritischste schwachstelle fand sich bei hashicorp vault allerdings im fogging-system. Das Ermöglichte, die funktionalität des plugins über über open-tools, beziehungsweise binärdateien von drittanbietern, donc zu erweitern, dass es ebenfalls Möglich war, télécommande Auszuführen. Dazu Mussten Die Forscher Im ersten Schritt Code dans eine datei im plugin-Verzeichnis Schreiben und exécution-rechte définieren. Das Gelang Ihnen, indem sie die Audit-komponente des outils manipulerten und mithilfe eines benutzerdinigerten präfixes bösartigen code in protokolle einfügten. Diese Wurden Dann dans Das Verzeichnis Der Plugins Geschrieben.

Diese Schwachstelle (CVE-2025-6000) WAR AUSSI DAS ERGEBNIS MEHREER LOGISCHER FEHLER UND Bestand Offensichtlich Bereits Seit den Anfängen des Vault-Projekts. Nachdem cyata die infos zu den gefundenen schwachstellen an hashicorp weitergegeben chapeau, wurden diese par logiciel geschlossen. Der Anbieter Veröffentlichte Zudem Sicherheits-Bulletins mit detaillierten Informationen Zu Den Problemen. «Undere Untersuchung Bestätigt eine wichtige Erkenntnis: Selbst Software, Die ‘Memory-Safe’ Ist, Kann Auf Logischer Ebene Versagen – und wenn es dazu kommt, Können Die Folgen Gravierend Ausfall», Warnen Die Forscher und fügen Hinzu: «Unsreit». LogikFehler dans AuthentifilifierungSprozessen, Résolution d’identité Und Enforcement de la politique Heimlich Still Und Leise Das Trust Model ZerserStören. » (FM)

SIE WOLLEN WEITERE INTERRESSANTE Beiträge Rund Um Das Thea It-Sicherheit lesen? Newsletter Unser Kostenloser Liefert Ihnen alles, était Sicherheisentscheider und-experten wissen sollten, direkt dans la boîte de réception.

vgwort

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Hacker in a dark hoody sitting in front of a notebook with digital north korean flag and binary streams background cybersecurity concept
Des pirates nord-coréens exploitent les outils de sécurité de Google pour effacer à distance
La Commission européenne DSGVO pour KI et Cookie-Tracking Lockern
La Commission européenne DSGVO pour KI et Cookie-Tracking Lockern
Qu’est-ce que Discord et est-ce dangereux ? | Chouette noire
Qu’est-ce que Discord et est-ce dangereux ? | Chouette noire