DEVSECOPS_WEEKLY Telegram 1310
tgoop.com » United States » DevSecOps Talks » Telegram web » Post 1310
DevSecOps Talks
Cracking the Vault: как искали и нашли zero-day в HashiCorp Vault

Всем привет! 👋

Команда Cyata обнаружила девять ранее неизвестных zero-day уязвимостей в ядре HashiCorp Vault, некоторые были в коде почти десяток лет. Баги затрагивали как open-source, так и Enterprise версии и уже были исправлены HashiCorp.

Это не memory corruption или race condition, а тонкие логические уязвимости в аутентификации, идентификации и политиках Vault — они подрывают Vault как основу «модели доверия» инфраструктуры. Cyata выявили их вручную, через глубокий анализ логики.

Кратко по находкам:
🎯 Userpass backend:
- CVE-2025-6010: различный ответ при неверном логине → можно узнать, существует ли пользователь
- CVE-2025-6004: изменение регистра (Admin vs admin) сбрасывает счетчик блокировок
- CVE-2025-6011: тайминговая атака через разную обработку несуществующих юзеров
🎯 LDAP backend + MFA:
- CVE-2025-6004 (опять): из-за некорректной нормализации (пробелы, регистр) можно обойти блокировку
- CVE-2025-6003: при username_as_alias=true и MFA по EntityID, MFA может вообще не тригериться
🎯 TOTP MFA — целая цепочка багов:
- Выдаёт разные ошибки по reuse, позволяя узнать, был ли использован код
- Тримминг пробелов отключает защиту one-time-use
- TTL и глобальный кэш позволяют обойти rate-limit через entity-switching или ожидание создав skew window
→ всё это объединено в CVE-2025-6016
🎯 Аутентификация по сертификатам и entity impersonation:
- CVE-2025-6037: в non-CA режиме владелец приватного ключа может подменить CN и аутентифицироваться от имени другой сущности
🎯 Privilege escalation и RCE — самые критичные:
- CVE-2025-5999: позволяет поднять привилегии до root через неверную нормализацию policy
- CVE-2025-6000 — первый публичный RCE в Vault, позволяющий взять систему под полный контроль через каталог плагинов (цепочка из disclosure → запись файла → выставление execute → регистрация плагина)

Статья (≈38 мин) технически глубокая и нацеленная на практику — авторы показывают не только факт находки, но и путь обнаружения через схемы и видео.
Cyata | The Control Plane for Agentic Identity
Cracking the Vault: how we found zero-day flaws in authentication, identity, and authorization in HashiCorp Vault - Cyata | The…
Introduction: when the trust model can’t be trusted Secrets vaults are the backbone of digital infrastructure. They store the credentials, tokens, and certificates that govern access to systems, services, APIs, and data. They’re not just a part of the trust…
10🔥12👍62
www.tgoop.com/devsecops_weekly/1310
3.02K views



tgoop.com/devsecops_weekly/1310
Create:
Last Update:

Cracking the Vault: как искали и нашли zero-day в HashiCorp Vault

Всем привет! 👋

Команда Cyata обнаружила девять ранее неизвестных zero-day уязвимостей в ядре HashiCorp Vault, некоторые были в коде почти десяток лет. Баги затрагивали как open-source, так и Enterprise версии и уже были исправлены HashiCorp.

Это не memory corruption или race condition, а тонкие логические уязвимости в аутентификации, идентификации и политиках Vault — они подрывают Vault как основу «модели доверия» инфраструктуры. Cyata выявили их вручную, через глубокий анализ логики.

Кратко по находкам:
🎯 Userpass backend:
- CVE-2025-6010: различный ответ при неверном логине → можно узнать, существует ли пользователь
- CVE-2025-6004: изменение регистра (Admin vs admin) сбрасывает счетчик блокировок
- CVE-2025-6011: тайминговая атака через разную обработку несуществующих юзеров
🎯 LDAP backend + MFA:
- CVE-2025-6004 (опять): из-за некорректной нормализации (пробелы, регистр) можно обойти блокировку
- CVE-2025-6003: при username_as_alias=true и MFA по EntityID, MFA может вообще не тригериться
🎯 TOTP MFA — целая цепочка багов:
- Выдаёт разные ошибки по reuse, позволяя узнать, был ли использован код
- Тримминг пробелов отключает защиту one-time-use
- TTL и глобальный кэш позволяют обойти rate-limit через entity-switching или ожидание создав skew window
→ всё это объединено в CVE-2025-6016
🎯 Аутентификация по сертификатам и entity impersonation:
- CVE-2025-6037: в non-CA режиме владелец приватного ключа может подменить CN и аутентифицироваться от имени другой сущности
🎯 Privilege escalation и RCE — самые критичные:
- CVE-2025-5999: позволяет поднять привилегии до root через неверную нормализацию policy
- CVE-2025-6000 — первый публичный RCE в Vault, позволяющий взять систему под полный контроль через каталог плагинов (цепочка из disclosure → запись файла → выставление execute → регистрация плагина)

Статья (≈38 мин) технически глубокая и нацеленная на практику — авторы показывают не только факт находки, но и путь обнаружения через схемы и видео.

BY DevSecOps Talks




Share with your friend now:
tgoop.com/devsecops_weekly/1310

View MORE
Open in Telegram


Telegram News

Date: |

A new window will come up. Enter your channel name and bio. (See the character limits above.) Click “Create.” bank east asia october 20 kowloon Developing social channels based on exchanging a single message isn’t exactly new, of course. Back in 2014, the “Yo” app was launched with the sole purpose of enabling users to send each other the greeting “Yo.” Public channels are public to the internet, regardless of whether or not they are subscribed. A public channel is displayed in search results and has a short address (link). Today, we will address Telegram channels and how to use them for maximum benefit.
from us


Cracking the Vault: как искали и нашли zero-day в HashiCorp Vault

 DevSecOps Talks TG
web: 1310
DevSecOps Talks.Telegram web
DevSecOps Talks Telegram TG Channel
Telegram Updated:
Telegram DevSecOps Talks
FROM American