关键零日漏洞攻破CyberArk与HashiCorp密码保险库

秘密管理器掌握着企业王国的所有钥匙。两款流行产品存在长期的关键未认证远程代码执行（RCE）漏洞。

来源：Liudmyla Krapivska通过Alamy Stock Photo

BLACK HAT USA – 拉斯维加斯 – 2025年8月6日 – 研究人员在HashiCorp Vault中发现了9个零日安全漏洞，在CyberArk Conjur中发现了5个漏洞，这两款密码保险库被数千家企业使用。

这类秘密管理平台是企业中最敏感的系统。它们被称为"保险库"的原因就在于此——它们是保护企业所有密码、证书、加密密钥、应用程序编程接口（API）密钥等的大铁门。

“这是关键基础设施，“发现这些问题的Cyata公司CEO兼联合创始人Shahar Tal强调道。他补充说，即使想象比保险库被攻破更严重的网络攻击也很困难：“你需要替换组织中的每一个秘密。攻击者可以对整个保险库进行勒索软件攻击，并劫持所有秘密。除了访问一切，他们实际上可以破坏网络中的一切。”

在Black Hat USA 2025上，Tal和他的同事披露了两个领先秘密管理器中的14个先前未知的漏洞：HashiCorp Vault和CyberArk Conjur。其中一些问题潜伏了多年。它们允许认证绕过、根访问、远程代码执行（RCE），并最终完全破坏公司所有最有价值的秘密。

相关阅读：重新定义角色：什么造就了伟大的CISO

HashiCorp Vault与CyberArk Conjur的关键漏洞

Conjur中的问题都归结为一个无需认证的RCE利用链。

研究人员使用了一个与亚马逊网络服务（AWS）集成的标准部署。但并非使用真实的AWS账户，因为不需要合法认证。Conjur设计通过官方AWS服务器认证用户，但其用于认证该服务器的功能容易受到未验证用户输入的影响。通过在身份验证请求的区域名称中添加一个特殊字符（本例中为问号），他们能够将认证检查重定向到自己的服务器。

更巧妙的是他们的权限提升手段。他们不仅冒充普通用户（主机），还以策略身份进行认证——策略正是分配权限给用户和服务的东西。Tal在与Dark Reading的简报中解释了这个令人费解的技巧：“这是一个非常有趣的怪癖。通常你应该以机器或某种可识别实体进行认证。但我们发现，如果你尝试以策略身份进行认证（这在其他任何方式下都没有意义），它会给我们提供继续提升权限所需的一切。”

相关阅读：初创公司聚焦：Twine Security解决执行差距

另一个重大突破是研究人员发现Conjur已有两年历史的"策略工厂"功能允许模板包含嵌入式Ruby（ERB）代码，这些代码在使用模板时运行。他们利用这一点加载并运行任意恶意代码。

总的来说，Conjur漏洞获得了通用漏洞评分系统（CVSS）评分，范围从"关键"的9.1分（那些允许初始认证绕过的漏洞）到"中等"的6.0分。

与此同时，HashiCorp Vault的九个漏洞可以以各种方式组合实现相同结果。两个允许攻击者悄悄确定有效用户名，两个允许他们在暴力攻击期间绕过认证锁定。两个破坏了多因素认证（MFA），另一个破坏了基于证书的认证。一个允许从管理员权限提升到根权限，最后一个实现了RCE。这最后一个最严重的漏洞获得了"关键"的9.1 CVSS评分。大多数其他漏洞获得了介于5.3和6.8之间的"中等"严重性评分。

在通过电子邮件发送给Dark Reading的声明中，HashiCorp写道，它已经修补了所有九个漏洞，并且"每个问题都经过分类、验证，并通过协调的补丁发布为Vault的社区版、HCP版和企业版解决了问题。任何运行存在已识别漏洞的Vault版本的用户都应升级到最新版本的Vault，其中这些问题已得到解决。”

相关阅读：‘CMMC 3.0’对政府承包商的真正意义

CyberArk也确认了其修复细节，在声明中写道：“我们添加了验证和限制，以确保IAM认证请求仅发送到预期服务器，并且仅包含必要的头信息，在我们的API端点上添加了验证，以限制每种API调用可以使用哪些类型的资源，并完全移除了ERB模板的使用。”

即使保险库也需要安全

Tal表示，这些发现的重点不是企业保险库有问题。“秘密管理是件好事。你只需要考虑到事情变糟的情况。我认为许多专业人士认为，通过保险库存储凭证，他们的工作就完成了。实际上，这应该只是构建更具弹性的身份基础设施的更广泛努力的开始。”

“你需要有高容错性和故障转移场景——当发生入侵时的应急场景。有Gartner指南关于如何做到这一点。有一个完整的身份和访问管理（IAM）集成商市场，销售这些类型的末日准备解决方案，“他指出。

这可能听起来不尽如人意——对更深层次问题的临时解决方案。这也是为什么近年来许多安全专家不仅询问如何更好地保护秘密，还询问如何超越它们转向其他授权模型的部分原因。

“我知道静态秘密还会存在一段时间，但它们正在逐渐消失，“Tal说。“我们应该管理[用户]，而不是秘密。我们应该将行为情境化，评估执行操作的用户身份和机器类型，然后根据他们的行为做出决策，而不仅仅是他们持有的秘密。我认为秘密目前不是坏事，但最终我们将转向下一代身份基础设施。”

阅读更多关于：Black Hat新闻

关于作者

Nate Nelson, 特约撰稿人

Nate Nelson是一位驻纽约市的作家。他曾在Threatpost担任记者，并撰写了"Malicious Life”，这是一个在Apple和Spotify上获奖的Top 20科技播客。在Dark Reading之外，他还共同主持"The Industrial Security Podcast”。

查看更多来自Nate Nelson, 特约撰稿人的内容

保持最新网络安全威胁、新发现的漏洞、数据泄露信息和新兴趋势。每日或每周直接发送到您的电子邮件收件箱。

订阅

更多洞察

网络研讨会 2025年8月13日：为更有效的安全合作伙伴关系制定路线图 更多网络研讨会

活动 2025年6月25日：[虚拟活动] 现代企业的战略安全 2025年6月17日：[虚拟活动] 数据泄露剖析 更多活动

您可能还喜欢 网络安全运营：日本加强网络保障，通过网络防御法案 网络安全运营：弥合CISO与董事会之间的差距 网络安全运营：为何在工人短缺的情况下网络安全工作难找 网络安全运营：为何身份团队需要开始向CISO汇报

特色内容 查看Black Hat USA会议指南，获取更多来自展会的报道和情报。

编辑选择 网络攻击与数据泄露：Cisco用户数据在网络钓鱼攻击中被盗 作者：Alexander Culafi，2025年8月4日，3分钟阅读

网络安全运营：Dark Reading机密：资助未来的CVE计划 作者：Dark Reading员工，2025年7月30日

应用程序安全：对Vibe编码进行网络安全氛围检查 作者：Alexander Culafi，2025年7月30日，5分钟阅读

网络研讨会 2025年8月13日：为更有效的安全合作伙伴关系制定路线图 更多网络研讨会

白皮书 burnout漏洞：员工burnout如何成为网络安全的下一个前沿阵地 钓鱼攻击：如何防御针对组织的持续钓鱼尝试 保护企业高管和VIP免受网络攻击 4种方式XDR提升安全计划 托管安全与第三方网络风险机遇白皮书 更多白皮书

活动 2025年6月25日：[虚拟活动] 现代企业的战略安全 2025年6月17日：[虚拟活动] 数据泄露剖析 更多活动

探索更多 Black Hat Omdia 与我们合作 关于我们 广告 重印 加入我们 新闻通讯注册 关注我们

版权 © 2025 TechTarget, Inc. d/b/a Informa TechTarget。本网站由Informa TechTarget拥有和运营，这是一个全球网络的一部分，该网络 informs, influences and connects 全球技术买家和卖家。所有版权归他们所有。Informa PLC的注册办公室是5 Howick Place, London SW1P 1WG。在英格兰和威尔士注册。TechTarget, Inc.的注册办公室是275 Grove St. Newton, MA 02466。

首页 | Cookie政策 | 隐私 | 使用条款