Los investigadores de seguridad cibernética han descubierto más de una docena de vulnerabilidades en bóvedas seguras empresariales de Cybark y Hashicorp que, si se explotan con éxito, pueden permitir a los atacantes remotos descifrar sistemas de identidad corporativa y extraer secretos y tokens empresariales de ellos.
Las 14 vulnerabilidades, nombradas colectivamente Fault Vault, afectan el administrador de los secretos de Cybark, autohospedados y conjurando el código destapado y la cúpula de Hashicorp, según un referencia de una firma de seguridad de identidad Cyata. Luego de la divulgación responsable en mayo de 2025, las fallas se han abordado en las siguientes versiones –
Estos incluyen derivaciones de autenticación, suplantación, errores de ascenso de privilegios, vías de ejecución de código y robo de token raíz. El más severo de los problemas permite la ejecución del código remoto, lo que permite a los atacantes que la admiten la cúpula bajo ciertas condiciones sin ninguna credencial válida –
- CVE-2025-49827 (Puntuación CVSS: 9.1) – Bypass of IAM Authenticator en Cybark Secrets Manager
- CVE-2025-49831 (Puntuación CVSS: 9.1) – Bypass of IAM Authenticator en Cybark Secrets Manager a través de un dispositivo de red mal configurado
- CVE-2025-49828 (Puntuación CVSS: 8.6) – Ejecución de código remoto en Cybark Secrets Manager
- CVE-2025-6000 (Puntuación CVSS: 9.1) – Ejecución de código remoto subjetivo a través del injusticia del catálogo de complementos en Hashicorp Vault
- CVE-2025-5999 (Puntuación de CVSS: 7.2) – Escalación de privilegios a la raíz a través de la normalización de la política en Hashicorp Bault
Adicionalmente, las vulnerabilidades todavía se han descubierto en la método de protección de aislamiento de HaShicorp Vault, que está diseñada para elegir los intentos de fuerza bruta, que podría permitir que un atacante infiera qué usernames son válidos al exprimir un canal limítrofe basado en el tiempo e incluso restablecer el contador de bloqueos al cambiar el caso de un caso conocido (EG, por ejemplo, administrador para tener la llave de la despensa).
Otras dos deficiencias identificadas por la compañía israelí permitieron debilitar la aplicación de aislamiento y el prescindir la autenticación multifactor (MFA) cuando UserName_As_alias = true en la configuración de autenticación LDAP y la aplicación de la aplicación de MFA se aplica a nivel de entidad o liga de identidad.
En la prisión de ataque detallada por la compañía de seguridad cibernética, es posible exprimir un problema de suplantación de entidad certificado (CVE-2025-6037) con CVE-2025-5999 y CVE-2025-6000 para romper la capa de autenticación, privilegios escalados y la ejecución de código. Se dice que CVE-2025-6037 y CVE-2025-6000 existieron durante más de ocho y nueve abriles, respectivamente.
Armado con esta capacidad, un actor de amenaza podría armarse aún más el paso para eliminar el archivo “Core/HSM/_Barrier-Unseal-Keys”, convirtiendo efectivamente una función de seguridad en un vector de ransomware. Adicionalmente, la función de liga de control se puede socavar para mandar solicitudes HTTP y acoger respuestas sin ser auditadas, creando un canal de comunicación sigiloso.
“Esta investigación muestra cómo la autenticación, la aplicación de políticas y la ejecución de complementos se pueden trastornar a través de errores lógicos, sin tocar la memoria, desencadenar bloqueos o romper la criptografía”, dijo el investigador de seguridad Yarden Porat.
En una trayecto similar, las vulnerabilidades descubiertas en Cybark Secrets Manager/Conjur permiten el derivación de la autenticación, la ascenso de privilegios, la divulgación de información y la ejecución del código subjetivo, abriendo efectivamente la puerta a un ambiente en el que un atacante puede elaborar una prisión de explotación para obtener el paso no autenticado y la ejecución arbitraria arbitraria.
La secuencia de ataque se desarrolla de la posterior guisa –
- IAM Authentication Bypass al forjar respuestas de GetCallerIentity de aspecto válido
- Autenticarse como un medio político
- Violar del punto final de la industria anfitriona para crear un nuevo hospedador que se haga acontecer por una plantilla de política válida
- Asignado una carga de rubí incrustada (ERB) maliciosa directamente al host
- Activar la ejecución del ERB adjunto invocando el punto final de industria de políticas
“Esta prisión de exploit pasó del paso no autenticado a la ejecución completa del código remoto sin proporcionar una contraseña, token o credenciales de AWS”, señaló Porat.
La divulgación se produce cuando Cisco Talos detalló las fallas de seguridad en el firmware ControlVault3 de Dell y sus API de Windows asociadas que los atacantes podrían acaecer abusado de los atacantes para evitar el inicio de sesión de Windows, extraer claves criptográficas, así como surtir el paso incluso a posteriori de una nueva instalación del sistema eficaz al implementar implantes maliciosos indetectables en la firma.
Juntas, estas vulnerabilidades crean un potente método remoto de persistencia posterior a la compromiso para el paso encubierto a entornos de detención valía. Las vulnerabilidades identificadas son las siguientes
- CVE-2025-25050 (Puntuación CVSS: 8.8)-Existe una vulnerabilidad de escritura fuera de los límites en la funcionalidad CV_UPGRADE_SENSOR_Firmware que podría conducir a una escritura fuera de los límites
- CVE-2025-25215 (Puntuación CVSS: 8.8) – Existe una vulnerabilidad atrevido arbitraria en la funcionalidad CV_CLOSE que podría conducir a una atrevido arbitraria
- CVE-2025-24922 (Puntuación CVSS: 8.8): existe una vulnerabilidad de desbordamiento de búfer basada en la pila en la funcionalidad SecureBio_identify que podría conducir a la ejecución del código subjetivo
- CVE-2025-24311 (Puntuación CVSS: 8.4)-Existe una vulnerabilidad de repaso fuera de los límites en la funcionalidad CV_SEND_BLOCKDATA que podría conducir a una fuga de información
- CVE-2025-24919 (Puntuación CVSS: 8.1): existe una deserialización de la vulnerabilidad de entrada no confiable en la funcionalidad CVHDecapsulateCMD que podría conducir a la ejecución del código subjetivo
Las vulnerabilidades han sido nombradas en código Revault. Más de 100 modelos de computadoras portátiles Dell que ejecutan Broadcom BCM5820X se ven afectados los chips de la serie. No hay evidencia de que las vulnerabilidades hayan sido explotadas en la naturaleza.
La compañía de seguridad cibernética todavía señaló que un atacante recinto con paso físico a la computadora portátil de un becario podría abrirla y conseguir a la placa de Security Security Hub (USH), lo que permite a un atacante explotar cualquiera de las cinco vulnerabilidades sin tener que iniciar sesión o poseer una contraseña de secreto de disco completo.
“El ataque de Revault se puede utilizar como una técnica de persistencia posterior a la compromiso que puede permanecer incluso en las reinstalaciones de Windows”, dijo el investigador de Cisco Talos, Philippe Laulheret. “El ataque de Revault todavía se puede utilizar como un compromiso físico para evitar el inicio de sesión de Windows y/o para cualquier becario recinto obtener privilegios de dependencia/sistema”.
Para mitigar el aventura planteado por estos defectos, se recomienda a los usuarios que apliquen las soluciones proporcionadas por Dell; Deshabilite los servicios de ControlVault si los periféricos como los lectores de huellas digitales, los lectores de tarjetas inteligentes y los lectores de comunicación de campo cercano (NFC) no se están utilizando; y apague el inicio de sesión de la huella digital en situaciones de detención aventura.
