Pesquisadores de cibersegurança descobriram mais de uma dúzia de vulnerabilidades em cofres seguros empresariais da CyberArk e HashiCorp que, se exploradas com sucesso, podem permitir que invasores remotos quebrem sistemas de identidade corporativos e extraiam segredos e tokens empresariais deles.
As 14 vulnerabilidades, coletivamente chamadas de Vault Fault, afetam o CyberArk Secrets Manager, Self-Hosted, e o Conjur Open Source e o HashiCorp Vault, de acordo com um relatório da firma de segurança de identidade Cyata.
Após a divulgação responsável em maio de 2025, as falhas foram endereçadas nas seguintes versões:
- CyberArk Secrets Manager e Self-Hosted 13.5.1 e 13.6.1
- CyberArk Conjur Open Source 1.22.1
- HashiCorp Vault Community Edition 1.20.2 ou Vault Enterprise 1.20.2, 1.19.8, 1.18.13 e 1.16.24
Isso inclui bypasses de autenticação, personificação, bugs de escalonamento de privilégios, caminhos de execução de código e roubo de token root.
A mais grave dessas questões permite a execução remota de código, permitindo que os atacantes assumam o controle do cofre sob certas condições sem quaisquer credenciais válidas:
-
CVE-2025-49827
(pontuação CVSS: 9.1) - Bypass do autenticador IAM no CyberArk Secrets Manager
-
CVE-2025-49831
(pontuação CVSS: 9.1) - Bypass do autenticador IAM no CyberArk Secrets Manager via um dispositivo de rede configurado de forma incorreta
-
CVE-2025-49828
(pontuação CVSS: 8.6) - Execução remota de código no CyberArk Secrets Manager
-
CVE-2025-6000
(pontuação CVSS: 9.1) - Execução remota de código arbitrário via abuso do catálogo de plugins no HashiCorp Vault
-
CVE-2025-5999
(pontuação CVSS: 7.2) - Escalonamento de privilégios para root via normalização de política no HashiCorp Vault
Além disso, vulnerabilidades também foram descobertas na lógica de proteção de bloqueio do HashiCorp Vault, projetada para reduzir tentativas de força bruta, que poderiam permitir a um atacante inferir quais usernames são válidos, aproveitando um canal lateral baseado em tempo e até mesmo redefinir o contador de bloqueio, alterando o caso de um username conhecido (por exemplo, de admin para Admin).
Outras duas deficiências identificadas pela empresa israelense possibilitaram enfraquecer a aplicação do bloqueio e contornar controles de autenticação de múltiplos fatores (MFA) quando username_as_alias=true na configuração de autenticação LDAP e a aplicação MFA ocorre no nível de EntityID ou IdentityGroup.
Na cadeia de ataque detalhada pela empresa de cibersegurança, é possível se aproveitar de um problema de personificação de entidade de certificado (
CVE-2025-6037
) com
CVE-2025-5999
e
CVE-2025-6000
para quebrar a camada de autenticação, escalar privilégios e conseguir a execução de código.
Alega-se que o
CVE-2025-6037
e o
CVE-2025-6000
existem há mais de oito e nove anos, respectivamente.
Armado com essa capacidade, um agente de ameaças poderia ainda mais instrumentalizar o acesso para deletar o arquivo "core/hsm/_barrier-unseal-keys", efetivamente transformando uma característica de segurança em um vetor de ransomware.
Além disso, a funcionalidade Control Group pode ser comprometida para enviar requisições HTTP e receber respostas sem ser auditada, criando um canal de comunicação furtivo.
"Essa pesquisa mostra como autenticação, imposição de política e execução de plugin podem todos ser subvertidos através de bugs lógicos, sem tocar na memória, disparar travamentos ou quebrar a criptografia," disse o pesquisador de segurança Yarden Porat.
De maneira similar, as vulnerabilidades descobertas no CyberArk Secrets Manager/Conjur permitem bypass de autenticação, escalonamento de privilégios, divulgação de informações e execução arbitrária de código, abrindo efetivamente a porta para um cenário onde um atacante pode criar uma cadeia de exploração para obter acesso não autenticado e executar comandos arbitrários.
A sequência de ataque se desenrola da seguinte forma:
1.Bypass de autenticação IAM forjando respostas GetCallerIdentity válidas à aparência
2.Autenticar como um recurso de política
3.Abusar do endpoint Host Factory para criar um novo host que personifica um template de política válido
4.Atribuir um payload útil ERB (Embedded Ruby) maliciosa diretamente ao host
5.Acionar a execução do ERB anexado, invocando o endpoint Policy Factory
"Esta cadeia de exploração passou de acesso não autenticado a execução remota de código completo sem nunca fornecer uma senha, token ou credenciais AWS," observou Porat.
A divulgação acontece enquanto a Cisco Talos detalhou falhas de segurança no firmware ControlVault3 da Dell e suas APIs Windows associadas que poderiam ter sido abusadas por atacantes para contornar o login do Windows, extrair chaves criptográficas, bem como manter o acesso mesmo após uma nova instalação do sistema operacional, implantando implantes maliciosos indetectáveis no firmware.
Juntas, essas vulnerabilidades criam um método potente de persistência pós-comprometimento remoto para acesso encoberto a ambientes de alto valor.
As vulnerabilidades identificadas são as seguintes:
-
CVE-2025-25050
(pontuação CVSS: 8.8) - Uma vulnerabilidade de escrita fora dos limites existe na funcionalidade cv_upgrade_sensor_firmware que poderia levar a uma escrita fora dos limites
-
CVE-2025-25215
(pontuação CVSS: 8.8) - Uma vulnerabilidade de liberação arbitrária existe na funcionalidade cv_close que poderia levar a uma liberação arbitrária
-
CVE-2025-24922
(pontuação CVSS: 8.8) - Uma vulnerabilidade de estouro de buffer baseada em pilha existe na funcionalidade securebio_identify que poderia levar a execução arbitrária de código
-
CVE-2025-24311
(pontuação CVSS: 8.4) - Uma vulnerabilidade de leitura fora dos limites existe na funcionalidade cv_send_blockdata que poderia levar a um vazamento de informações
-
CVE-2025-24919
(pontuação CVSS: 8.1) - Uma vulnerabilidade de desserialização de entrada não confiável existe na funcionalidade cvhDecapsulateCmd que poderia levar a execução arbitrária de código
As vulnerabilidades foram codinomeadas ReVault.
Mais de 100 modelos de laptops Dell que executam chips da série Broadcom BCM5820X são afetados.
Não há evidências de que as vulnerabilidades tenham sido exploradas em ambiente real.
A empresa de cibersegurança também apontou que um atacante local com acesso físico ao laptop de um usuário poderia abri-lo e acessar a placa Unified Security Hub (USH), permitindo que um atacante explorasse qualquer uma das cinco vulnerabilidades sem ter que fazer login ou possuir uma senha de criptografia de disco completo.
"O ataque ReVault pode ser usado como uma técnica de persistência pós-comprometimento que pode permanecer até mesmo através de reinstalações do Windows," disse o pesquisador da Cisco Talos, Philippe Laulheret.
"O ataque ReVault também pode ser usado como um comprometimento físico para contornar o Login do Windows e/ou para qualquer usuário local ganhar privilégios de Admin/System."
Para mitigar o risco representado por essas falhas, aconselha-se que os usuários apliquem as correções fornecidas pela Dell; desativem os serviços ControlVault se periféricos como leitores de impressão digital, leitores de cartão inteligente e leitores de comunicação de campo próximo (NFC) não estiverem sendo usados; e desliguem o login por impressão digital em situações de alto risco.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...