HashiCorp Vault & CyberArk Conjurが侵害される

Alexsander Ovsyannikov | shutterstock.com

エンタープライズ環境では、人間以外のアイデンティティ（アプリケーションやマシンなどによって使用される）の数が、人間のアイデンティティの数を推定で約150倍も上回っています。そのため、認証情報やシークレット管理システムはITインフラの重要なコンポーネントとなっています。だからこそ、この分野で広く使われている2つのオープンソースソリューションを分析したアイデンティティ専門企業Cyataのセキュリティ専門家が得た知見は、非常に重大です。

それによると、HashiCorp VaultとCyberArk Conjurのさまざまなコンポーネントに合計14件の論理的な脆弱性が存在していました。これにより研究者によれば、

• 認証チェックの回避、
• システムに保存されている認証情報へのアクセス、
• リモートからのコード実行

などが可能になっていました。「シークレット管理システムは、システム、サービス、API、データへのアクセスを制御する認証情報、トークン、証明書を保存しているため、単なる信頼モデルの一部ではなく、信頼モデルそのものです。Vaultが侵害されれば、インフラ全体がすでに失われているのと同じです」と、セキュリティ専門家はブログで警告しています。彼らの知見は、セキュリティカンファレンスBlack Hat USA in Las Vegasでも発表されました。

HashiCorp VaultとCyberArk Conjurの脆弱性はすでに修正されていますが、研究者の発見は衝撃的です。なぜなら、これら2つのシークレット管理システムは認証情報やその他の秘密情報を保存するだけでなく、ユーザーがこれらのシークレットへのアクセスや利用に関するポリシーを定義したり、監査を実施したりすることも可能にしているからです。

CyberArk Conjurはどのようにハッキングされたか

Cyataの専門家がCyberArk Conjurに関連して発見した攻撃チェーンは、AWSのIAMアイデンティティを検証するために使われるコードの単純なミスから始まりました。ConjurはAWSインスタンスの認証に独自のSecurity Token Service（STS）をサポートしており、これによりハードコーディングされた認証情報なしでワークフローの認証が可能です。AWSインスタンスが署名付きヘッダーを生成し、ConjurがそれをSTSに転送します。

サービスは署名を検証し、インスタンスのアイデンティティを返します。ただし、STSサーバーはリージョンごとに異なります。例えばus-east-1のインスタンスはsts.us-east-1.amazonaws.comを使う必要があります。Conjurは署名付きヘッダーに含まれるインスタンスのホスト名から正しいSTSリージョンを判別します。問題は、ヘッダー内のホスト名が攻撃者によって制御可能であることです。通常は偽の署名では正規のSTSインスタンスの検証を通過できませんが、

Conjurはコードのミスによりホスト名内の特殊文字を除去できませんでした。そのため研究者は、sts.cyata.ai?のようなホスト名でリクエストを作成し、Conjurはこれをsts.cyata.ai?.amazonaws.comに変換しました。しかし実際には、URL内の追加された「?」以降は無視されるため、リクエストはsts.cyata.ai（研究者が管理する悪意あるSTSサーバー）に送信され、検証を通過しました。「これがチェーンの最初のステップであり、認証されていない攻撃者がシステムに侵入し、正規のAWSアイデンティティとして振る舞うことを可能にしました」と専門家は述べています。

研究者はさらに、Conjurのリソースモデルの悪用方法も調査しました。これはAPIクエリにも使われる3つのパラメータを使用します：

• Account（Conjurアカウント名）、
• Kind（リソースタイプ：ホスト、ユーザー、変数、ポリシーなど）、
• Identifier（一意のリソース名）

これについて、Conjurの認証ロジックがアイデンティティのリソースタイプ部分を検証していないことを発見しました。そのため、偽のAWSアイデンティティを使って、ホストではなくユーザーやポリシーとしてシステムに認証することが可能でした。「このステップにより、未認証アクセスからConjur内の重大な攻撃面が生まれました」と専門家は強調します。「偽のSTSレスポンス、ホストの代わりにポリシーアイデンティティ、Host-Factoryフローの脆弱性を組み合わせることで、名前や所有権を完全に制御できる新しいホストを作成できました。」

次のステップでCyataの専門家はConjurのPolicy Factoryも調査しました。これは管理者が再利用可能なポリシーテンプレートを新しいリソースに適用できる仕組みです。これらのテンプレートにはEmbedded Ruby（ERB）コードも含めることができます。研究者の狙いは、任意のERBコードを含むテンプレートを作成し、そのコードをリモートで実行することでした。研究者は、ポリシーテンプレートがConjurのシークレットテーブルに保存されていることを発見しましたが、本来は「変数」タイプのリソースだけが割り当てられるべきでした。実際にはCyberArkのシークレット管理ツールではこの制限が適用されていませんでした。「これが完全なリモートコード実行に必要な最後のステップでした。Conjurにホストを変数として取得させ、ERBをシークレットとして割り当て、Conjurはそれを想定通り実行しました」と専門家は説明します。

CyberArkはこれらの脆弱性を2025年6月に修正し、5つの個別のCVEを公開しました。

HashiCorp Vaultはどのようにハッキングされたか

HashiCorpのオープンソースシステムVaultもCyberArk Conjurと同様の目的を果たし、エンタープライズエディションも提供されています。ユーザーはここに秘密情報を保管し、マルチクラウド・ハイブリッドクラウド環境内の分散システムで認証に利用します。Conjurと同様に、Cyataの研究者はVaultのコードも手動で調査し、認証やポリシー適用を担うコンポーネントの論理エラーに注目しました。その結果、9件の脆弱性が明らかになり、その中にはリモートコード実行が可能なものも含まれていました。

研究者はまず、Vaultで最もよく使われている認証方式を調査しました：

• 従来のユーザー名・パスワード方式（Userpass方式）、
• Active DirectoryやOpenLDAPなどのディレクトリサービスに基づくLDAP、
• マシン間通信によく使われるTLSによる証明書ベース認証

Userpass方式では、攻撃者がユーザー名の存在を特定できる脆弱性を発見しました。また、複数回のログイン失敗後にアカウントをロックするはずのブルートフォース対策を回避できることも判明しました。LDAPでも同様の回避手法が見つかり、特に多くの環境で有効なTOTP方式（一時的なワンタイムパスワード）にバグがあり、ブルートフォース対策を回避し、アカウントロックを引き起こさずにMFAコードを「推測」できました。

証明書ベース認証では、さらに別の論理エラーが見つかりました。HashiCorp Vaultはこの場合、TLSクライアント証明書の公開鍵が登録証明書と一致するかだけを確認し、証明書名（ZN）は無視していました。VaultはZN値を内部のEntityIDの割り当てに使っているため、攻撃者が秘密鍵を持っていれば有効な公開鍵と偽のZNを作成し、偽のアイデンティティで認証できてしまいます。さらに、管理者アカウントにroot権限を付与できる権限昇格の脆弱性もありました。本来HashiCorpツールは完全な侵害リスクを減らすため、これをデフォルトで防ぐ設計になっていました。

研究者によると、HashiCorp Vaultで最も重大だった脆弱性はロギングシステムにありました。これにより、オープンソースツールの機能をプラグインやサードパーティのバイナリで拡張し、リモートコード実行も可能になっていました。研究者はまず、プラグインディレクトリにコードを書き込み、実行権限を設定する必要がありました。これを実現するため、ツールの監査コンポーネントを操作し、カスタムプレフィックスを使って悪意あるコードをログに挿入し、それがプラグインディレクトリに書き込まれるようにしました。

この脆弱性（CVE-2025-6000）は複数の論理エラーの結果であり、Vaultプロジェクトの初期から存在していたことが明らかになりました。Cyataが発見した脆弱性情報をHashiCorpに提供した後、ソフトウェアアップデートで修正されました。ベンダーはまた、問題の詳細な情報を含むセキュリティ・ブリテンも公開しました。「我々の調査は重要な事実を裏付けています。『メモリセーフ』なソフトウェアであっても、論理レベルで失敗することがあり、その場合、影響は重大になり得ます」と研究者は警告し、さらに「我々の研究は、認証プロセス、アイデンティティ解決、ポリシー適用における微妙な論理エラーが、知らぬ間に信頼モデルを破壊することを示しています」と付け加えています。（fm）

ITセキュリティに関するさらに興味深い記事をお読みになりたいですか？無料ニュースレターにご登録いただくと、セキュリティ意思決定者や専門家が知っておくべき情報をすべて、直接メールでお届けします。