HashiCorpのVault Terraform Providerに新たな脆弱性が発見され、攻撃者が認証情報なしで認証できる可能性があり、機密情報やインフラデータが漏洩する恐れがあります。
この欠陥は、プロバイダーのLDAP認証設定における誤ったデフォルト設定に起因しています。
「基盤となるLDAPサーバーが匿名または未認証のバインドを許可していた場合、これにより認証バイパスが発生する可能性があります」とHashiCorpはアドバイザリで述べています。
VaultのLDAP設定ミスの内部
この脆弱性(CVE-2025-13357)は、Vault Terraform ProviderがLDAP認証用のdeny_null_bindパラメータを誤ったデフォルト動作で処理していたことに由来します。
影響を受けるバージョンでは、このパラメータがTerraform構成で明示的に設定されていない場合、デフォルトでfalseとなっていました。
基盤となるLDAPサーバーが匿名またはヌルバインドを許可している環境では、Vaultが空のパスワードを有効な認証試行として扱うという、静かで危険な状況が生じていました。
Terraform ProviderがデフォルトパラメータでLDAP認証バックエンドを作成または更新した場合、Vaultは未認証のLDAP接続を受け入れ、攻撃者が認証情報を提供せずに認証できるようになっていました。
この設定ミスは、Infrastructure as Code(IaC)で管理される環境全体に広がり、複数のVaultクラスターやネームスペースが知らず知らずのうちにこの危険な設定を継承していた可能性があります。
HashiCorpは、この欠陥がTerraform Provider v4.2.0からv5.4.0、および修正前に空のパスワードを受け入れていたVaultのバージョンに影響することを確認しました。
現時点で実際の悪用事例は確認されていませんが、匿名LDAPバインドを許可する環境では、概念実証は容易です。
Vault環境を安全に保つ方法
Vaultは機密情報や暗号化データの中央ストアとして機能するため、この脆弱性を修正することは、不正アクセスやさらなる被害を防ぐために不可欠です。
- VaultおよびTerraform Providerを最新バージョンにアップグレードしてください。
- すべてのLDAP認証設定でdeny_null_bind = trueを明示的に設定し、すべての環境で未認証または匿名バインドを防止してください。
- LDAPサーバー自体で匿名バインドを無効化し、ディレクトリサービスがヌルまたは空のパスワードによる認証試行を受け入れないようにしてください。
- ファイアウォールルール、ACL、最小権限の接続制御を使用して、VaultのLDAP認証エンドポイントへのネットワークアクセスを制限・分割してください。
- LDAP認証バックエンドとVaultポリシーを監査・強化し、危険なデフォルトが残っていないか確認し、LDAPベースのログインに紐づく権限を最小限に抑えてください。
- 監視を行い、空のパスワード試行、予期しないトークン生成、異常なVaultログインパターンなど、不審な認証活動を検知してください。
- Vaultの運用セキュリティを強化し、認証情報やトークンのローテーション、特権ロールへのMFA適用、Terraformステートのドリフト検証、プロバイダーバージョンの固定などを実施してください。
この欠陥への対処には、ソフトウェアのアップデート、設定変更、運用上の強化策を組み合わせ、安全な認証を確保することが求められます。
なぜシークレットとアイデンティティ層が狙われるのか
このインシデントは、IaCツールの一見些細な設定ミスが、組織全体に影響を及ぼす深刻な認証障害へと発展しうることを示しています。
企業がセキュリティやアイデンティティのワークフローを自動化し続ける中で、Terraform Providerなどのツールにおけるデフォルト設定の信頼性が極めて重要になっています。
Vaultの脆弱性は、攻撃者がクラウド環境のアイデンティティやシークレット層をますます標的にしているという、より広範な傾向も反映しています。たった一つの設定ミスでも、広範かつ高権限なアクセスが許されてしまう可能性があります。
アイデンティティ基盤へのこのような圧力の高まりは、ゼロトラスト原則が設定ミスの影響を軽減するために不可欠であることを示しています。
翻訳元: https://www.esecurityplanet.com/threats/news-hashicorp-vault-vulnerability/
