Los investigadores de ciberseguridad han descubierto más de 12 vulnerabilidades en bóvedas empresariales de Cybark y Hashicorp.
Según un informe de la compañía de seguridad de identidad Cyata, 14 vulnerabilidades, nombradas fallas de bóveda colectivamente, afectan el administrador de los secretos de Cybark, el código abierto y la bóveda de Hashicorp. Después de la divulgación responsable en mayo de 2025, los defectos se abordan en las siguientes versiones –
Estos incluyen omisión de autenticación, falsificación, errores de escalada de privilegios, rutas de ejecución de código y robo de token raíz. El problema más grave permite la ejecución del código remoto, lo que permite a los atacantes obtener cajas fuertes bajo ciertas condiciones sin credenciales válidas –
CVE-2025-49827 (Puntuación CVSS: 9.1)-Ejecuiendo el autenticador de IAM para el gerente secreto de Cyberarc CVE-2025-49831 (Puntuación CVSS: 9.1)-omitiendo el Autenticador de IAM para Cyberarc Manager a través del dispositivo de red Incorrect: 8.6) Cyberk Secrets Manager CVE-2025-6000 (9.1.1.1. Ejecución de código remoto arbitrario por abuso del catálogo de complementos de bóveda de hashicop
Además, la vulnerabilidad también se ha descubierto en la lógica de protección de bloqueo de bóveda de Hashicope, diseñada para acelerar los intentos de la fuerza bruta, lo que permite a los atacantes aprovechar los canales laterales basados en el tiempo para adivinar los nombres de usuario válidos e incluso restablecer el contador de bloqueo al cambiar el caso de las casas conocidas de nombre de usuario (por ejemplo, administradores).
Otros dos inconvenientes identificados por las compañías israelíes han hecho control de la aplicación de la aplicación más débil y multifactor (MFA) cuando username_as_alias = true y la aplicación de MFA aplicada a nivel de entidad o grupo de identidad en una configuración de autenticación LDAP.
La cadena de ataque detallada por las compañías de seguridad cibernética puede aprovechar los problemas de falsificación de la entidad de certificados (CVE-2025-6037) en CVE-2025-5999 y CVE-2025-6000 para romper la capa de autenticación, privilegios de privilegio escalado y lograr la ejecución del código. Se dice que CVE-2025-6037 y CVE-2025-6000 han existido durante más de 8 y 9 años, respectivamente.
Los actores de amenaza con esta habilidad pueden armarse aún más el acceso a eliminar archivos «Core/HSM/_Barrier-Unseal-Keys», convirtiendo efectivamente las características de seguridad en vectores de ransomware. Además, puede debilitar la funcionalidad del grupo de control para enviar solicitudes HTTP sin ser auditado, recibir respuestas y crear canales de comunicación sigilosa.
«Este estudio muestra cómo la autenticación, la aplicación de políticas y la ejecución de los complementos pueden destruir todo a través de errores lógicos sin tocar la memoria, causar bloqueos o romper los cifrados».
Del mismo modo, las vulnerabilidades descubiertas en Cyberark Secrets Manager/Congur permiten el omisión de la autenticación, la escalada de privilegios, la divulgación de información y la ejecución de código arbitrario, abriendo efectivamente la puerta a un escenario en el que los atacantes pueden crear cadenas de exploit para obtener acceso no autorizado y ejecutar comandos arbitrarios.
La secuencia de ataque se desarrolla de la siguiente manera:
La autenticación de IAM omitiendo una respuesta válida de GetCallerIentity que tiene una apariencia válida autenticada como un recurso político al forjar una respuesta válida de GetCallerIentity, que crea un nuevo host que abusa del punto final de la fábrica del host y hace adelante una plantilla de política válida.
«Esta cadena de exploits ha pasado del acceso reconocido a la ejecución completa del código remoto sin proporcionar contraseñas, tokens o credenciales de AWS», dijo Porat.
Esta divulgación se basa en fallas de seguridad detalladas en Cisco Talos del firmware ControlVault3 de Dell y las API de Windows relacionadas que los atacantes podrían abusar de los atacantes para evitar los inicios de sesión de Windows, extraer claves de cifrado e instalar nuevos sistemas operativos, pero aún así mantener el acceso después de implementar implantes maliciosos indetectables e instalarlos en la firma.
Juntas, estas vulnerabilidades crean un poderoso método remoto de persistencia posterior a la compromiso para el acceso oculto a entornos de alto valor. Las vulnerabilidades identificadas son:
CVE-2025-25050 (puntaje CVSS: 8.8)-Existe una vulnerabilidad de escritura fuera de los límites en la funcionalidad CV_UPGRADE_SENSOR_Firmware CVE-2025-24922 (puntaje CVSS: 8.8): la función SecureBio_identify tiene una vulnerabilidad de desbordamiento de búfer basada en la pila en la función SecureBio_identify que puede conducir a la ejecución del código arbitrario (puntaje CVSS: 8.4)-Read. CVE-2025-24919 (puntuación CVSS: 8.1)-La funcionalidad CVHDecapsulateCMD que puede conducir a la ejecución de código arbitraria tiene la necesidad de eliminar las vulnerabilidades de entrada no confiables
La vulnerabilidad se llama Codename Revault. Se verán afectados más de 100 modelos de computadoras portátiles Dell que ejecutan el chip de la serie Broadcom BCM5820X. No hay evidencia de que la vulnerabilidad esté siendo explotada en la naturaleza.
Las compañías de seguridad cibernética también señalan que los atacantes locales con acceso físico a las computadoras portátiles de sus usuarios pueden abrirlo y acceder a un tablero de seguridad de seguridad unificado (USH), lo que permite a los atacantes explotar cualquiera de las cinco vulnerabilidades sin iniciar sesión o poseer una contraseña de cifrado de disco completo.
«El ataque de Revault se puede utilizar como una tecnología de persistencia posterior al conflicto que puede permanecer para toda la reinstalación de Windows», dijo Philippe Laulheret, investigador de Cisco Talos. «Los ataques de Revault también se pueden utilizar como un compromiso físico para que los usuarios locales pasen por alto los inicios de sesión de Windows o obtengan privilegios administrativos/del sistema».
Para mitigar los riesgos planteados por estos defectos, se alienta a los usuarios a aplicar las correcciones proporcionadas por Dell. Si deshabilita el servicio ControlVault y no utiliza periféricos, como lectores de huellas digitales, lectores de tarjetas inteligentes o lectores de comunicación de campo cercano (NFC). Apague el inicio de sesión de la huella digital en situaciones de alto riesgo.
Source link
