HashiCorp Vault 漏洞允许攻击者无需凭证登录
HashiCorp Vault Terraform Provider 中的一个新漏洞可能让攻击者在无需提供凭证的情况下进行身份验证,从而暴露敏感的密钥和基础设施数据。
该漏洞源于提供商 LDAP 身份验证设置中存在错误配置的默认值。
HashiCorp 在其公告中表示:“如果底层 LDAP 服务器允许匿名或未经身份验证的绑定,则可能导致身份验证绕过。”
Vault LDAP 错误配置漏洞详解
该漏洞(CVE-2025-13357)源于 Vault Terraform Provider 在处理 LDAP 身份验证的 deny_null_bind 参数时,存在不正确的默认行为。
在受影响的版本中,当 Terraform 配置中没有显式设置该参数时,其默认值为 false。
在底层 LDAP 服务器允许匿名或空绑定的环境中,这会创建一个静默且危险的条件:Vault 将空密码视为有效的身份验证尝试。
当 Terraform Provider 使用默认参数创建或更新 LDAP 身份验证后端时,Vault 会接受未经身份验证的 LDAP 连接,从而使得攻击者能够在无需提供凭证的情况下进行身份验证。
这种错误配置通过基础设施即代码(IaC)管理的环境进行传播,这意味着多个 Vault 集群或命名空间可能在不知情的情况下继承了不安全的设置。
HashiCorp 确认该漏洞影响 Terraform Provider v4.2.0 至 v5.4.0,以及在修复前仍接受空密码的 Vault 版本。
虽然没有已确认的主动利用案例,但在允许匿名 LDAP 绑定的环境中,利用此漏洞的概念验证将非常直接。
如何保护您的 Vault 部署
Vault 作为密钥和加密材料的中央存储库,修复此漏洞对于防止未经授权的访问和后续危害至关重要。
- 升级到最新版本的 Vault 和 Terraform Provider。
- 在所有 LDAP 身份验证配置中显式设置
deny_null_bind = true,以防止每个环境中出现未经身份验证或匿名的绑定。 - 在 LDAP 服务器本身上禁用匿名绑定,以确保目录服务无法接受空或空密码的身份验证尝试。
- 使用防火墙规则、访问控制列表和最小权限连接控制,限制和分段对 Vault LDAP 身份验证端点的网络访问。
- 审计并强化 LDAP 身份验证后端和 Vault 策略,以验证不存在不安全的默认设置,并尽量减少与基于 LDAP 的登录相关的权限。
- 监控可疑的身份验证活动,例如空密码尝试、意外的令牌创建或不寻常的 Vault 登录模式。
- 加强围绕 Vault 的操作安全,包括轮换凭证和令牌、对高权限角色强制执行多因素认证、验证 Terraform 状态的漂移以及固定提供商版本。
解决此漏洞需要结合软件更新、配置更改和更强化的操作实践,以确保安全的身份验证。
密钥与身份层为何成为主要攻击目标
此事件表明,基础设施即代码工具中一个看似微小的错误配置,如何升级为影响整个组织的严重身份验证故障。
随着企业继续自动化安全和身份工作流程,Terraform Provider 等工具中默认设置的可靠性变得至关重要。
Vault 的漏洞也反映了一个更广泛的趋势:攻击者越来越频繁地瞄准云环境的身份和密钥层,在那里即使是一个错误配置也可能授予广泛且高度特权的访问权限。
身份基础设施面临的这种日益增长的压力,使得零信任原则对于减少错误配置的影响至关重要。