DEVSECOPS_WEEKLY Telegram 1310
tgoop.com » United States » DevSecOps Talks » Telegram web » Post 1310
DevSecOps Talks
Cracking the Vault: как искали и нашли zero-day в HashiCorp Vault

Всем привет! 👋

Команда Cyata обнаружила девять ранее неизвестных zero-day уязвимостей в ядре HashiCorp Vault, некоторые были в коде почти десяток лет. Баги затрагивали как open-source, так и Enterprise версии и уже были исправлены HashiCorp.

Это не memory corruption или race condition, а тонкие логические уязвимости в аутентификации, идентификации и политиках Vault — они подрывают Vault как основу «модели доверия» инфраструктуры. Cyata выявили их вручную, через глубокий анализ логики.

Кратко по находкам:
🎯 Userpass backend:
- CVE-2025-6010: различный ответ при неверном логине → можно узнать, существует ли пользователь
- CVE-2025-6004: изменение регистра (Admin vs admin) сбрасывает счетчик блокировок
- CVE-2025-6011: тайминговая атака через разную обработку несуществующих юзеров
🎯 LDAP backend + MFA:
- CVE-2025-6004 (опять): из-за некорректной нормализации (пробелы, регистр) можно обойти блокировку
- CVE-2025-6003: при username_as_alias=true и MFA по EntityID, MFA может вообще не тригериться
🎯 TOTP MFA — целая цепочка багов:
- Выдаёт разные ошибки по reuse, позволяя узнать, был ли использован код
- Тримминг пробелов отключает защиту one-time-use
- TTL и глобальный кэш позволяют обойти rate-limit через entity-switching или ожидание создав skew window
→ всё это объединено в CVE-2025-6016
🎯 Аутентификация по сертификатам и entity impersonation:
- CVE-2025-6037: в non-CA режиме владелец приватного ключа может подменить CN и аутентифицироваться от имени другой сущности
🎯 Privilege escalation и RCE — самые критичные:
- CVE-2025-5999: позволяет поднять привилегии до root через неверную нормализацию policy
- CVE-2025-6000 — первый публичный RCE в Vault, позволяющий взять систему под полный контроль через каталог плагинов (цепочка из disclosure → запись файла → выставление execute → регистрация плагина)

Статья (≈38 мин) технически глубокая и нацеленная на практику — авторы показывают не только факт находки, но и путь обнаружения через схемы и видео.
Cyata | The Control Plane for Agentic Identity
Cracking the Vault: how we found zero-day flaws in authentication, identity, and authorization in HashiCorp Vault - Cyata | The…
Introduction: when the trust model can’t be trusted Secrets vaults are the backbone of digital infrastructure. They store the credentials, tokens, and certificates that govern access to systems, services, APIs, and data. They’re not just a part of the trust…
10🔥12👍62
www.tgoop.com/devsecops_weekly/1310
2.99K views



tgoop.com/devsecops_weekly/1310
Create:
Last Update:

Cracking the Vault: как искали и нашли zero-day в HashiCorp Vault

Всем привет! 👋

Команда Cyata обнаружила девять ранее неизвестных zero-day уязвимостей в ядре HashiCorp Vault, некоторые были в коде почти десяток лет. Баги затрагивали как open-source, так и Enterprise версии и уже были исправлены HashiCorp.

Это не memory corruption или race condition, а тонкие логические уязвимости в аутентификации, идентификации и политиках Vault — они подрывают Vault как основу «модели доверия» инфраструктуры. Cyata выявили их вручную, через глубокий анализ логики.

Кратко по находкам:
🎯 Userpass backend:
- CVE-2025-6010: различный ответ при неверном логине → можно узнать, существует ли пользователь
- CVE-2025-6004: изменение регистра (Admin vs admin) сбрасывает счетчик блокировок
- CVE-2025-6011: тайминговая атака через разную обработку несуществующих юзеров
🎯 LDAP backend + MFA:
- CVE-2025-6004 (опять): из-за некорректной нормализации (пробелы, регистр) можно обойти блокировку
- CVE-2025-6003: при username_as_alias=true и MFA по EntityID, MFA может вообще не тригериться
🎯 TOTP MFA — целая цепочка багов:
- Выдаёт разные ошибки по reuse, позволяя узнать, был ли использован код
- Тримминг пробелов отключает защиту one-time-use
- TTL и глобальный кэш позволяют обойти rate-limit через entity-switching или ожидание создав skew window
→ всё это объединено в CVE-2025-6016
🎯 Аутентификация по сертификатам и entity impersonation:
- CVE-2025-6037: в non-CA режиме владелец приватного ключа может подменить CN и аутентифицироваться от имени другой сущности
🎯 Privilege escalation и RCE — самые критичные:
- CVE-2025-5999: позволяет поднять привилегии до root через неверную нормализацию policy
- CVE-2025-6000 — первый публичный RCE в Vault, позволяющий взять систему под полный контроль через каталог плагинов (цепочка из disclosure → запись файла → выставление execute → регистрация плагина)

Статья (≈38 мин) технически глубокая и нацеленная на практику — авторы показывают не только факт находки, но и путь обнаружения через схемы и видео.

BY DevSecOps Talks




Share with your friend now:
tgoop.com/devsecops_weekly/1310

View MORE
Open in Telegram


Telegram News

Date: |

Invite up to 200 users from your contacts to join your channel Ng Man-ho, a 27-year-old computer technician, was convicted last month of seven counts of incitement charges after he made use of the 100,000-member Chinese-language channel that he runs and manages to post "seditious messages," which had been shut down since August 2020. How to create a business channel on Telegram? (Tutorial) Hashtags are a fast way to find the correct information on social media. To put your content out there, be sure to add hashtags to each post. We have two intelligent tips to give you: Unlimited number of subscribers per channel
from us


Cracking the Vault: как искали и нашли zero-day в HashiCorp Vault

 DevSecOps Talks TG
web: 1310
DevSecOps Talks.Telegram web
DevSecOps Talks Telegram TG Channel
Telegram Updated:
Telegram DevSecOps Talks
FROM American