ثغرات CyberArk و HashiCorp تمكّن من السيطرة على الخزائن عن بُعد دون الحاجة إلى بيانات الاعتماد
اكتشف باحثو الأمن السيبراني أكثر من عشرة ثغرات في خزائن الأمان المؤسسية من CyberArk و HashiCorp، والتي إذا تم استغلالها بنجاح، يمكن أن تسمح للمهاجمين عن بُعد بفتح أنظمة الهوية الخاصة بالشركات واستخراج الأسرار والتوكنات المؤسسية منها.
تؤثر 14 ثغرة، التي تُعرف مجتمعة باسم Vault Fault، على CyberArk Secrets Manager و Self-Hosted و Conjur Open Source و HashiCorp Vault، وفقًا لتقرير من شركة أمان الهوية Cyata. بعد الكشف المسؤول في مايو 2025، تم معالجة العيوب في الإصدارات التالية:
أنواع الثغرات
تشمل هذه الثغرات تجاوز المصادقة، انتحال الهوية، أخطاء تصعيد الامتيازات، مسارات تنفيذ التعليمات البرمجية، وسرقة التوكن الجذر. أكثر القضايا خطورة تسمح بتنفيذ التعليمات البرمجية عن بُعد، مما يتيح للمهاجمين السيطرة على الخزنة في ظل ظروف معينة دون أي بيانات اعتماد صالحة:
- CVE-2025-49827 (درجة CVSS: 9.1) – تجاوز مصادق IAM في CyberArk Secrets Manager
- CVE-2025-49831 (درجة CVSS: 9.1) – تجاوز مصادق IAM في CyberArk Secrets Manager عبر جهاز شبكة مُهيأ بشكل خاطئ
- CVE-2025-49828 (درجة CVSS: 8.6) – تنفيذ تعليمات برمجية عن بُعد في CyberArk Secrets Manager
- CVE-2025-6000 (درجة CVSS: 9.1) – تنفيذ تعليمات برمجية عن بُعد بشكل عشوائي عبر استغلال كتالوج المكونات الإضافية في HashiCorp Vault
- CVE-2025-5999 (درجة CVSS: 7.2) – تصعيد الامتيازات إلى الجذر عبر تطبيع السياسة في HashiCorp Vault
بالإضافة إلى ذلك، تم اكتشاف ثغرات في منطق حماية القفل في HashiCorp Vault، والذي يهدف إلى تقليل محاولات القوة الغاشمة، مما قد يسمح للمهاجم باستنتاج أسماء المستخدمين الصالحة من خلال الاستفادة من قناة جانبية تعتمد على التوقيت، وحتى إعادة تعيين عداد القفل عن طريق تغيير حالة اسم مستخدم معروف (مثل admin إلى Admin).
سلسلة الهجوم
تتبع سلسلة الهجوم التي تفصلها الشركة الأمنية، إمكانية الاستفادة من مشكلة انتحال كيان الشهادة (CVE-2025-6037) مع CVE-2025-5999 و CVE-2025-6000 لكسر طبقة المصادقة، تصعيد الامتيازات، وتحقيق تنفيذ التعليمات البرمجية. يُقال إن CVE-2025-6037 و CVE-2025-6000 موجودتان لأكثر من ثماني وتسع سنوات، على التوالي.
مسلحًا بهذه القدرة، يمكن للمهاجم استغلال الوصول لحذف ملف “core/hsm/_barrier-unseal-keys”، مما يحول ميزة الأمان إلى متجه رانسوم وير. علاوة على ذلك، يمكن تقويض ميزة مجموعة التحكم لإرسال طلبات HTTP واستقبال ردود دون أن يتم تدقيقها، مما يخلق قناة اتصال سرية.
“تظهر هذه الأبحاث كيف يمكن تجاوز المصادقة، فرض السياسات، وتنفيذ المكونات الإضافية من خلال أخطاء منطقية، دون المساس بالذاكرة، أو التسبب في أعطال، أو كسر التشفير،” قال الباحث الأمني ياردن بورات.
بالمثل، تسمح الثغرات المكتشفة في CyberArk Secrets Manager/Conjur بتجاوز المصادقة، تصعيد الامتيازات، الكشف عن المعلومات، وتنفيذ التعليمات البرمجية بشكل عشوائي، مما يفتح الباب لسيناريو يمكن فيه للمهاجم إنشاء سلسلة استغلال للحصول على وصول غير مصادق عليه وتشغيل أوامر عشوائية.
تتطور سلسلة الهجوم كما يلي:
- تجاوز مصادقة IAM من خلال تزوير استجابات GetCallerIdentity التي تبدو صالحة
- المصادقة كموارد السياسة
- استغلال نقطة نهاية Host Factory لإنشاء مضيف جديد ينتحل قالب سياسة صالح
- تعيين حمولة Ruby مدمجة (ERB) خبيثة مباشرة إلى المضيف
- تحفيز تنفيذ ERB المرفقة من خلال استدعاء نقطة نهاية Policy Factory
“انتقلت سلسلة الاستغلال هذه من الوصول غير المصدق إلى تنفيذ التعليمات البرمجية عن بُعد الكامل دون الحاجة إلى تقديم كلمة مرور أو توكن أو بيانات اعتماد AWS،” أشار بورات.
