كشف باحثون في الأمن السيبراني عن أكثر من اثنتي عشرة ثغرة أمنية خطيرة في أنظمة الخزائن المؤسسية الآمنة لكل من CyberArk وHashiCorp، يمكن أن تتيح للمهاجمين عن بُعد اختراق أنظمة الهوية المؤسسية وسرقة الأسرار والرموز المخزنة بداخلها.
ووفقًا لتقرير صادر عن شركة Cyata المتخصصة في أمن الهوية، فإن الثغرات – التي أُطلق عليها اسم Vault Fault – تؤثر على CyberArk Secrets Manager وCyberArk Self-Hosted وConjur Open Source، بالإضافة إلى HashiCorp Vault. وبعد الإفصاح المسؤول عن هذه العيوب في مايو 2025، أصدرت الشركات تحديثات أمنية لمعالجة الثغرات في الإصدارات التالية:
-
CyberArk Secrets Manager وSelf-Hosted 13.5.1 و13.6.1
-
CyberArk Conjur Open Source 1.22.1
-
HashiCorp Vault Community Edition 1.20.2 أو Vault Enterprise بالإصدارات 1.20.2، 1.19.8، 1.18.13، و1.16.24
ثغرات عالية الخطورة واستغلال بدون بيانات اعتماد
تشمل العيوب الأمنية المكتشفة تجاوزات للمصادقة، وانتحال الهوية، وثغرات لرفع الامتيازات، ومسارات لتنفيذ الأكواد عن بُعد، وسرقة رموز الجذر. وتُعد أخطر هذه الثغرات تلك التي تسمح بتنفيذ أوامر على الخادم عن بُعد والاستيلاء الكامل على الخزائن دون الحاجة إلى أي بيانات اعتماد صحيحة. ومن أبرز هذه الثغرات:
-
CVE-2025-49827 (درجة CVSS: 9.1) – تجاوز مصادقة IAM في CyberArk Secrets Manager
-
CVE-2025-49831 (درجة CVSS: 9.1) – تجاوز مصادقة IAM عبر جهاز شبكة مُكوّن بشكل خاطئ في CyberArk Secrets Manager
-
CVE-2025-49828 (درجة CVSS: 8.6) – تنفيذ أوامر عن بُعد في CyberArk Secrets Manager
-
CVE-2025-6000 (درجة CVSS: 9.1) – تنفيذ أوامر عن بُعد عبر استغلال كتالوج الإضافات في HashiCorp Vault
-
CVE-2025-5999 (درجة CVSS: 7.2) – رفع الامتيازات إلى مستوى الجذر عبر ثغرة في سياسة التطبيع في HashiCorp Vault
تجاوز الحماية وكسر أنظمة المصادقة
كما اكتشف الباحثون ثغرات في منطق حماية القفل في HashiCorp Vault، الذي صُمم لمنع هجمات القوة الغاشمة، مما قد يسمح للمهاجم باكتشاف أسماء المستخدمين الصحيحة عبر قناة جانبية تعتمد على التوقيت، بل وإعادة تعيين عداد القفل بمجرد تغيير حالة الأحرف في اسم المستخدم (مثل admin إلى Admin).
كما وُجدت مشكلات أخرى تسمح بإضعاف إجراءات القفل وتجاوز الضوابط متعددة العوامل (MFA) في حال تم تفعيل الخيار username_as_alias=true في إعدادات مصادقة LDAP، مع تطبيق MFA على مستوى EntityID أو IdentityGroup.
وفي تسلسل هجوم متكامل، يمكن استغلال ثغرة انتحال كيان الشهادة (CVE-2025-6037) مع الثغرتين CVE-2025-5999 وCVE-2025-6000 لاختراق طبقة المصادقة، ورفع الامتيازات، وتنفيذ الأوامر. وتشير التقارير إلى أن الثغرتين CVE-2025-6037 وCVE-2025-6000 ظلتا موجودتين منذ أكثر من ثمانية وتسعة أعوام على التوالي.
استغلال الخزائن وتحويلها إلى سلاح ابتزاز
بمجرد حصول المهاجم على هذه القدرات، يمكنه حذف ملف core/hsm/_barrier-unseal-keys، مما يحوّل ميزة أمان أساسية إلى أداة لشن هجمات فدية. كما يمكن استغلال ميزة Control Group لإرسال واستقبال طلبات HTTP دون تسجيلها في السجلات، ما يوفر قناة تواصل خفية وغير قابلة للتعقب.
وقال الباحث الأمني ياردن بورات: “هذا البحث يوضح كيف يمكن التحايل على المصادقة، وتنفيذ السياسات، وتشغيل الإضافات عبر ثغرات منطقية، دون المساس بالذاكرة أو التسبب في أعطال أو كسر خوارزميات التشفير”.
هجمات CyberArk وسيناريو الوصول الكامل
أما في حالة CyberArk Secrets Manager/Conjur، فتسمح الثغرات بتجاوز المصادقة، ورفع الامتيازات، وكشف المعلومات، وتنفيذ أوامر عن بُعد، مما يفتح المجال أمام سيناريوهات هجوم متسلسلة تمنح المهاجم وصولًا غير مصادق وتنفيذ أوامر تعسفية.
وتسير عملية الاستغلال كالتالي:
-
تجاوز مصادقة IAM عبر إنشاء استجابات مزيفة تشبه GetCallerIdentity الصحيحة
-
المصادقة كموارد سياسة
-
استغلال واجهة Host Factory لإنشاء مضيف جديد ينتحل قالب سياسة صالح
-
تضمين حمولة ضارة مكتوبة بـ Embedded Ruby (ERB) مباشرة في المضيف
-
تفعيل تنفيذ الحمولة عبر استدعاء واجهة Policy Factory
وقال بورات معلقًا: “هذا التسلسل انتقل من وصول غير مصادق إلى تنفيذ أوامر عن بُعد بالكامل، دون تقديم كلمة مرور أو رمز أو بيانات اعتماد AWS”.
