サイバーセキュリティ研究者は、CyberArkおよびHashiCorpのエンタープライズ向けセキュアボールトに十数件以上の脆弱性を発見しました。これらが悪用されると、リモート攻撃者が企業のアイデンティティシステムを突破し、企業のシークレットやトークンを抽出できる可能性があります。
Cyataというアイデンティティセキュリティ企業のレポートによると、これら14件の脆弱性は総称してVault Faultと名付けられ、CyberArk Secrets Manager、Self-Hosted、Conjur Open Source、およびHashiCorp Vaultに影響します。2025年5月の責任ある開示の後、以下のバージョンで修正されています。
- CyberArk Secrets ManagerおよびSelf-Hosted 13.5.1および13.6.1
- CyberArk Conjur Open Source 1.22.1
- HashiCorp Vault Community Edition 1.20.2またはVault Enterprise 1.20.2、1.19.8、1.18.13、1.16.24
これらには、認証バイパス、なりすまし、権限昇格バグ、コード実行経路、ルートトークンの窃取などが含まれます。最も深刻な問題はリモートコード実行を可能にし、特定の条件下で攻撃者が有効な認証情報なしでボールトを乗っ取ることができます。
- CVE-2025-49827(CVSSスコア: 9.1)- CyberArk Secrets ManagerにおけるIAM認証バイパス
- CVE-2025-49831(CVSSスコア: 9.1)- ネットワークデバイスの誤設定によるCyberArk Secrets ManagerのIAM認証バイパス
- CVE-2025-49828(CVSSスコア: 8.6)- CyberArk Secrets Managerにおけるリモートコード実行
- CVE-2025-6000(CVSSスコア: 9.1)- HashiCorp Vaultにおけるプラグインカタログの悪用による任意のリモートコード実行
- CVE-2025-5999(CVSSスコア: 7.2)- HashiCorp Vaultにおけるポリシー正規化を利用したルートへの権限昇格
さらに、HashiCorp Vaultのロックアウト保護ロジックにも脆弱性が発見されました。これはブルートフォース攻撃を抑制するためのものですが、タイミングベースのサイドチャネルを利用して攻撃者が有効なユーザー名を推測したり、既知のユーザー名の大文字小文字を変更することで(例:admin→Admin)ロックアウトカウンターをリセットすることが可能です。
イスラエルの企業が特定した他の2つの欠陥により、LDAP認証設定でusername_as_alias=trueかつMFA強制がEntityIDまたはIdentityGroupレベルで適用されている場合、ロックアウト強制を弱めたり多要素認証(MFA)制御をバイパスすることが可能でした。
サイバーセキュリティ企業が詳細に説明した攻撃チェーンでは、証明書エンティティなりすましの問題(CVE-2025-6037)をCVE-2025-5999およびCVE-2025-6000と組み合わせて、認証レイヤーを突破し、権限を昇格させ、コード実行を達成することが可能です。CVE-2025-6037とCVE-2025-6000は、それぞれ8年以上、9年以上存在していたとされています。
この能力を持つことで、攻撃者は「core/hsm/_barrier-unseal-keys」ファイルを削除するなど、アクセスをさらに悪用し、セキュリティ機能をランサムウェアのベクターに変えることができます。さらに、Control Group機能は監査されずにHTTPリクエストの送受信が可能となり、ステルスな通信チャネルを作り出すことができます。
「この研究は、認証、ポリシー強制、プラグイン実行が、メモリに触れたりクラッシュを引き起こしたり暗号を破ることなく、ロジックバグによってすべて回避されうることを示しています」とセキュリティ研究者のYarden Poratは述べています。
同様に、CyberArk Secrets Manager/Conjurで発見された脆弱性は、認証バイパス、権限昇格、情報漏洩、任意コード実行を可能にし、攻撃者がエクスプロイトチェーンを作成して未認証アクセスを取得し、任意のコマンドを実行できるシナリオを実現します。
攻撃の流れは以下の通りです。
- 有効に見えるGetCallerIdentityレスポンスを偽造してIAM認証をバイパス
- ポリシーリソースとして認証
- Host Factoryエンドポイントを悪用し、有効なポリシーテンプレートをなりすます新しいホストを作成
- 悪意のあるEmbedded Ruby(ERB)ペイロードをホストに直接割り当て
- Policy Factoryエンドポイントを呼び出して割り当てたERBを実行
「このエクスプロイトチェーンは、パスワード、トークン、AWS認証情報を一切入力することなく、未認証アクセスから完全なリモートコード実行に至りました」とPoratは述べています。
この開示は、Cisco TalosがDellのControlVault3ファームウェアおよび関連するWindows APIにおけるセキュリティ欠陥を詳細に説明したタイミングで発表されました。これらは攻撃者によってWindowsログインのバイパス、暗号鍵の抽出、さらには新規OSインストール後もファームウェアに検知されないマルウェアを展開することでアクセス維持が可能となるものでした。
これらの脆弱性は、高価値な環境への隠密なアクセスを維持する強力なリモート・ポストコンプロマイズ持続手法を生み出します。特定された脆弱性は以下の通りです。
- CVE-2025-25050(CVSSスコア: 8.8)- cv_upgrade_sensor_firmware機能におけるアウトオブバウンズ書き込み脆弱性
- CVE-2025-25215(CVSSスコア: 8.8)- cv_close機能における任意解放脆弱性
- CVE-2025-24922(CVSSスコア: 8.8)- securebio_identify機能におけるスタックベースバッファオーバーフロー脆弱性
- CVE-2025-24311(CVSSスコア: 8.4)- cv_send_blockdata機能におけるアウトオブバウンズリード脆弱性
- CVE-2025-24919(CVSSスコア: 8.1)- cvhDecapsulateCmd機能における信頼されていない入力のデシリアライズ脆弱性
これらの脆弱性はReVaultというコードネームが付けられています。Broadcom BCM5820Xシリーズチップを搭載した100機種以上のDellノートパソコンが影響を受けます。現時点でこれらの脆弱性が実際に悪用された証拠はありません。
サイバーセキュリティ企業はまた、物理的にユーザーのノートパソコンにアクセスできるローカル攻撃者が、Unified Security Hub(USH)ボードにアクセスし、5つの脆弱性のいずれかをログインやフルディスク暗号化パスワードなしで悪用できることも指摘しています。
「ReVault攻撃は、Windowsの再インストールをまたいで持続するポストコンプロマイズ技術として利用できます」とCisco Talosの研究者Philippe Laulheretは述べています。「ReVault攻撃は、物理的な侵害としてWindowsログインをバイパスしたり、ローカルユーザーがAdmin/System権限を取得するためにも利用できます。」
これらの脆弱性によるリスクを軽減するため、ユーザーはDellが提供する修正を適用し、指紋リーダー、スマートカードリーダー、NFCリーダーなどの周辺機器を使用していない場合はControlVaultサービスを無効にし、高リスクな状況では指紋ログインをオフにすることが推奨されています。
翻訳元: https://thehackernews.com/2025/08/cyberark-and-hashicorp-flaws-enable.html