تعتبر الثغرات الأمنية في أنظمة الأمان المؤسسية من الأمور الحساسة التي تتطلب اهتمامًا خاصًا. في هذا المقال، نستعرض الثغرات المكتشفة في CyberArk و HashiCorp وكيف يمكن أن تؤثر على الأمان المؤسسي.
ثغرات CyberArk و HashiCorp تسمح بالاستيلاء على الخزائن عن بُعد بدون بيانات اعتماد
اكتشف باحثو الأمن السيبراني أكثر من عشرة ثغرات في خزائن الأمان المؤسسية من CyberArk و HashiCorp، والتي إذا تم استغلالها بنجاح، يمكن أن تسمح للمهاجمين عن بُعد باختراق أنظمة الهوية المؤسسية واستخراج الأسرار والتوكنات المؤسسية منها.
تؤثر الـ 14 ثغرة، التي أُطلق عليها اسم Vault Fault، على CyberArk Secrets Manager و Self-Hosted و Conjur Open Source و HashiCorp Vault، وفقًا لتقرير من شركة أمان الهوية Cyata. بعد الكشف المسؤول في مايو 2025، تم معالجة الثغرات في الإصدارات التالية:
تشمل هذه الثغرات تجاوز المصادقة، والانتحال، وثغرات تصعيد الامتيازات، ومسارات تنفيذ التعليمات البرمجية، وسرقة رموز الجذر. أكثر القضايا خطورة تسمح بتنفيذ التعليمات البرمجية عن بُعد، مما يسمح للمهاجمين بالاستيلاء على الخزنة في ظل ظروف معينة بدون أي بيانات اعتماد صالحة:
- CVE-2025-49827 (درجة CVSS: 9.1) – تجاوز مصادقة IAM في CyberArk Secrets Manager
- CVE-2025-49831 (درجة CVSS: 9.1) – تجاوز مصادقة IAM في CyberArk Secrets Manager عبر جهاز شبكة مُكون بشكل خاطئ
- CVE-2025-49828 (درجة CVSS: 8.6) – تنفيذ تعليمات برمجية عن بُعد في CyberArk Secrets Manager
- CVE-2025-6000 (درجة CVSS: 9.1) – تنفيذ تعليمات برمجية عن بُعد بشكل عشوائي عبر إساءة استخدام كتالوج المكونات الإضافية في HashiCorp Vault
- CVE-2025-5999 (درجة CVSS: 7.2) – تصعيد الامتيازات إلى الجذر عبر تطبيع السياسة في HashiCorp Vault
بالإضافة إلى ذلك، تم اكتشاف ثغرات أيضًا في منطق حماية القفل في HashiCorp Vault، والذي تم تصميمه لتقليل محاولات القوة الغاشمة، مما قد يسمح للمهاجم باستنتاج أسماء المستخدمين الصالحة من خلال الاستفادة من قناة جانبية تعتمد على الوقت، وحتى إعادة تعيين عداد القفل عن طريق تغيير حالة اسم مستخدم معروف (مثل: admin إلى Admin).
كما سمحت ثغرتان أخريان تم تحديدهما من قبل الشركة الإسرائيلية بتقويض تنفيذ القفل وتجاوز ضوابط المصادقة متعددة العوامل (MFA) عندما تكون username_as_alias=true في تكوين مصادقة LDAP ويتم تطبيق تنفيذ MFA على مستوى EntityID أو IdentityGroup.
في سلسلة الهجمات التي تفصلها الشركة المتخصصة في الأمن السيبراني، من الممكن الاستفادة من مشكلة انتحال كيان الشهادة (CVE-2025-6037) مع CVE-2025-5999 و CVE-2025-6000 لكسر طبقة المصادقة، وتصعيد الامتيازات، وتحقيق تنفيذ التعليمات البرمجية. يُقال إن CVE-2025-6037 و CVE-2025-6000 موجودتان لأكثر من ثماني وتسع سنوات، على التوالي.
مسلحًا بهذه القدرة، يمكن لمهاجم تهديدي أن يستغل الوصول لحذف ملف “core/hsm/_barrier-unseal-keys”، مما يحول ميزة الأمان إلى ناقل فدية. وما هو أكثر من ذلك، يمكن تقويض ميزة مجموعة التحكم لإرسال طلبات HTTP واستقبال ردود بدون تدقيق، مما يخلق قناة اتصال خفية.
“تظهر هذه الأبحاث كيف يمكن التلاعب بالمصادقة، وفرض السياسات، وتنفيذ المكونات الإضافية جميعها من خلال أخطاء منطقية، دون لمس الذاكرة، أو تفعيل الأعطال، أو كسر التشفير،” قال الباحث الأمني ياردن بورات.
على نحو مشابه، تسمح الثغرات المكتشفة في CyberArk Secrets Manager/Conjur بتجاوز المصادقة، وتصعيد الامتيازات، وكشف المعلومات، وتنفيذ التعليمات البرمجية بشكل عشوائي، مما يفتح فعليًا الباب لسيناريو يمكن أن يقوم فيه المهاجم بإنشاء سلسلة استغلال للحصول على وصول غير مصدق وتنفيذ أوامر عشوائية.
تت unfold سلسلة الهجمات كما يلي:
- تجاوز مصادقة IAM عن طريق تزوير استجابات GetCallerIdentity التي تبدو صالحة
- المصادقة كموارد السياسة
- إساءة استخدام نقطة نهاية Host Factory لإنشاء مضيف جديد ينتحل قالب سياسة صالح
- تعيين حمولة Ruby المضمنة (ERB) الضارة مباشرة إلى المضيف
- تفعيل تنفيذ ERB المرفقة من خلال استدعاء نقطة نهاية Policy Factory
“انتقلت سلسلة الاستغلال هذه من الوصول غير المصدق إلى تنفيذ التعليمات البرمجية عن بُعد الكامل دون الحاجة إلى تقديم كلمة مرور، أو توكن، أو بيانات اعتماد AWS،” أشار بورات.
تؤكد هذه الثغرات على أهمية مراجعة أنظمة الأمان بشكل دوري وتحديثها لضمان حماية فعالة ضد التهديدات المتزايدة. يجب على المؤسسات اتخاذ خطوات استباقية لحماية بياناتها.
