Pesquisadores da Cyata divulgaram nove vulnerabilidades de dia zero anteriormente desconhecidas no HashiCorp Vault, uma plataforma de gerenciamento de segredos de código aberto amplamente adotada, permitindo que os invasores ignorem a autenticação, escalem privilégios e alcancem a execução remota de código (RCE).
Essas falhas, atribuídas a CVEs por meio de divulgação responsável e corrigidas em colaboração com a HashiCorp, decorrem de erros lógicos sutis em componentes principais, como back-ends de autenticação, Autenticação multifator (MFA), normalização de políticas e manipulação de plug-ins.
Afetando as edições de código aberto e corporativas, as vulnerabilidades destacam fraquezas sistêmicas no modelo de confiança do Vault, em que configurações incorretas amplificam os riscos, potencialmente levando ao comprometimento de toda a infraestrutura.
Os problemas abrangem vários métodos de autenticação, começando com o back-end do passe de usuário, onde o CVE-2025-6004 permite o desvio de bloqueio por meio de permutações de maiúsculas e minúsculas de nome de usuário, redefinindo contadores de falha e facilitando ataques de força bruta.
Da mesma forma, o CVE-2025-6011 introduz a enumeração de nome de usuário baseada em tempo por meio de comparações de hash bcrypt inconsistentes, vazando a existência válida do usuário.
Nas integrações LDAP, o CVE-2025-6004 explora as incompatibilidades de normalização de entrada entre o Vault e os servidores externos, permitindo bilhões de tentativas de senha variando maiúsculas e minúsculas e espaços em branco, anulando efetivamente as proteções de força bruta.
O CVE-2025-6003 permite ainda mais o desvio de MFA em configurações com username_as_alias habilitado e imposição no nível da entidade, falhando ao disparar os desafios necessários devido a erros de resolução de ID da entidade.
As proteções de MFA TOTP são prejudicadas por falhas agregadas sob CVE-2025-6016, incluindo enumeração de senha usada por meio de mensagens de erro, bypass de uso único por meio de preenchimento de espaço (explorando discrepâncias entre validação e cache) e evasão de limitação de taxa por meio de distorção de tempo ou alternância de entidade.
Isso permite códigos MFA de força bruta dentro de janelas de validade, reduzindo a eficácia do segundo fator.
A autenticação baseada em certificado sofre com o CVE-2025-6037, em que o modo não CA verifica apenas chaves públicas, permitindo que invasores com acesso à chave privada forjem nomes comuns (CNs) e se passem por entidades, herdando políticas associadas e permitindo o movimento lateral.
O escalonamento de privilégios é obtido por meio do CVE-2025-5999, explorando incompatibilidades de normalização de política: a validação rejeita atribuições “raiz” exatas, mas variantes como “raiz” ou “ROOT” passam nas verificações e normalizam para privilégios raiz completos em tempo de execução, permitindo que os usuários administradores obtenham controle irrestrito.
Culminando no CVE-2025-6000, o primeiro RCE público no Vault, os invasores abusam do registro de auditoria para gravar cargas executáveis no diretório de plug-ins, reveladas por meio de mensagens de erro, definir modos executáveis, capturar hashes por meio de back-ends duplos e carregá-los como plug-ins, executando código arbitrário.
Essa rede, presente há quase uma década, aproveita recursos confiáveis sem corrupção de memória.
Implicações para a segurança da infraestrutura
Essas vulnerabilidades, algumas datando de oito a nove anos, formam cadeias exploráveis desde o início Desvio de autenticação para escalonamento raiz e RCE, conforme demonstrado em caminhos direcionados aos métodos userpass, LDAP e cert.
Os riscos pós-exploração incluem ransomware por meio da exclusão da chave de criptografia ou persistência furtiva por meio da subversão do grupo de controle.
De acordo com o relatório, a metodologia da Cyata enfatizou a revisão manual de código do tratamento de solicitações e a lógica de identidade, descobrindo falhas negligenciadas por ferramentas automatizadas.
As organizações devem atualizar para versões corrigidas, auditar configurações para configurações vulneráveis, como username_as_alias ou políticas permissivas, e monitorar tentativas de autenticação anômalas.
Essa divulgação ressalta que falhas lógicas em âncoras de confiança como o Vault podem subverter modelos de segurança inteiros, exigindo a aplicação rigorosa de identidades e políticas no gerenciamento de segredos.
The Ultimate SOC-as-a-Service Pricing Guide for 2025–Baixe de graça