07.08.2025
1 хв
532
На конференції Black Hat USA 2025 дослідники розкрили 14 критичних 0-day вразливостей у двох найпопулярніших сховищах секретів — HashiCorp Vault і CyberArk Conjur. Уразливості дозволяли отримати root-доступ, обходити автентифікацію та виконувати довільний код без авторизації.
Команда експертів з компанії Cyata виявила дев’ять невідомих вразливостей у HashiCorp Vault і п’ять — у CyberArk Conjur. Обидві платформи широко використовуються для управління найціннішими корпоративними даними: токенами, паролями, сертифікатами, ключами шифрування та API-ключами. Уразливості відкривали шлях до повного зламу «всіх ключів від королівства».
Особливо небезпечним виявився ланцюг атак на Conjur: дослідники використали підроблену AWS-автентифікацію, де спеціальний символ у запиті (?) дозволяв спрямувати перевірку на зловмисний сервер. Крім того, вони здійснили підміну ролі з «машини» на «політику», що дозволило їм ескалувати привілеї. Ще одна уразливість — виконання довільного коду через шаблони з Embedded Ruby (ERB).
У випадку з Vault, уразливості дозволяли обхід MFA, брутфорс без блокування, ескалацію до root-доступу й виконання коду на сервері. Найсерйозніші з них отримали CVSS 9.1. Обидві компанії вже випустили патчі, і користувачам рекомендовано негайно оновитися.
Секрет-менеджери типу Vault і Conjur — це хребет корпоративної безпеки. Але, як показує приклад з Black Hat, навіть найзахищеніші системи залишаються вразливими, якщо за ними не стежать. CEO Cyata Шахар Таль зазначив, що компрометація сховища — це не просто витік, а тотальна катастрофа, після якої доведеться змінювати всі секрети в організації.
- Таль підкреслює, що використання vault’ів — це лише перша сходинка, а не повноцінне рішення. Організації мають готуватись до найгірших сценаріїв — мати резервні схеми доступу, мультифакторну перевірку поведінки користувачів, сценарії «розбити скло в екстреному випадку».
Цей інцидент є серйозним попередженням: покладатися лише на vault — недостатньо. І хоча більшість уразливостей уже закрито, сам факт їх існування роками в системах, які мали б бути бездоганними, — тривожний сигнал. Наступним кроком має стати перехід до поведінкових моделей авторизації, де рішення приймаються не за фактом володіння секретом, а з урахуванням контексту й дій користувача. Майбутнє кібербезпеки — не в секретах, а в адаптивній ідентичності.
