Penyelidik keselamatan daripada F5 Labs telah menemui sembilan kelemahan keselamatan serius dalam HashiCorp Vault , sebuah alat popular yang digunakan oleh syarikat-syarikat untuk menguruskan kata laluan, kunci, dan maklumat sensitif lain. Penemuan ini datang selepas hampir dua tahun pemeriksaan kod yang teliti dan menjejaskan kedua-dua versi Enterprise berbayar dan edisi Open Source percuma bagi Vault .
Kelemahan-kelemahan tersebut terdiri daripada pintasan pengesahan hingga pelaksanaan kod jarak jauh, dengan beberapa kelemahan wujud dalam pangkalan kod sehingga sembilan tahun. Isu-isu ini boleh membenarkan penyerang mendapat akses pentadbiran, mencuri rahsia, dan berpotensi mengambil kawalan penuh ke atas sistem Vault .
Sembilan CVE Kritikal Ditemui (Mei-Jun 2025)
• CVE-2025-6010 - [Pada mulanya disunting, kini didedahkan sebagai penghitungan nama pengguna] • CVE-2025-6004 - Pintasan Sekatan melalui permutasi kes dan normalisasi input • CVE-2025-6011 - Penghitungan Nama Pengguna Berasaskan Masa • CVE-2025-6003 - Pintasan Penguatkuasaan MFA melalui konfigurasi LDAP • CVE-2025-6013 - Penjanaan Berbilang EntityID dalam LDAP • CVE-2025-6016 - Kelemahan Pelaksanaan MFA TOTP • CVE-2025-6037 - Penyamaran Entiti Sijil (wujud 8+ tahun) • CVE-2025-5999 - Peningkatan Keistimewaan Root melalui normalisasi dasar • CVE-2025-6000 - Pelaksanaan Kod Jauh melalui penyalahgunaan katalog pemalam (wujud 9 tahun)
Kegagalan Pengesahan dan Kebenaran Membawa kepada Kompromi Sistem
Penemuan yang paling membimbangkan melibatkan kawalan keselamatan asas yang tidak berfungsi seperti yang dimaksudkan. Penyelidik menemui cara untuk memintas keperluan log masuk sepenuhnya, memperdaya sistem untuk memberikan keistimewaan yang lebih tinggi daripada yang dimaksudkan, dan bahkan menyamar sebagai pengguna lain sepenuhnya.
Satu serangan yang sangat bijak melibatkan eksploitasi cara Vault mengendalikan normalisasi teks - proses menukar teks kepada format standard. Sistem akan menormalkan nama pengguna secara berbeza dalam pelbagai bahagian kod, mewujudkan ketidakkonsistenan yang boleh dieksploitasi oleh penyerang. Sebagai contoh, penyerang mungkin mencipta variasi nama pengguna admin yang akan memintas pemeriksaan keselamatan di beberapa kawasan sambil diiktiraf sebagai sah di kawasan lain.
Normalisasi teks: Proses menukar teks kepada format yang konsisten, seperti menukar semua huruf kepada huruf kecil atau membuang aksara khas.
Kategori Kelemahan dan Kesan
Pintasan Pengesahan
- Kebocoran rahsia TOTP dan serangan kekerasan
- Pintasan permutasi kes dalam pengesahan userpass
- Ketidakpadanan normalisasi input dalam LDAP
Pintasan Kebenaran
- Manipulasi tuntutan kumpulan OIDC
- Pengelakan penguatkuasaan MFA
- Eksploitasi normalisasi dasar
Penyamaran Identiti
- Penciptaan alias pendua JWT
- Penyamaran entiti sijil
- Penjanaan berbilang EntityID untuk identiti yang sama
Kelemahan Pelaksanaan Kod Jarak Jauh Mendedahkan Risiko Kritikal
Mungkin kelemahan yang paling berbahaya membenarkan penyerang melaksanakan kod mereka sendiri pada pelayan Vault - pada asasnya memberikan mereka kawalan penuh ke atas sistem. Kelemahan ini wujud selama sembilan tahun dan berfungsi dengan memperdaya sistem plugin Vault untuk menganggap data log audit sebagai kod yang boleh dilaksanakan.
Rantaian serangan adalah canggih tetapi memusnah. Penyerang dengan keistimewaan pentadbiran boleh memanipulasi log audit untuk memasukkan kod berniat jahat, kemudian mengeksploitasi pepijat peningkatan keistimewaan yang berasingan untuk mendapat akses root. Peningkatan keistimewaan berfungsi kerana pemeriksaan keselamatan mencari teks tepat root tetapi proses pemilihan token sebenar membersihkan input, membenarkan variasi seperti ROOT untuk terlepas.
Respons Komuniti Menonjolkan Cabaran Pendedahan
Pendedahan kelemahan-kelemahan ini telah mencetuskan perbincangan mengenai pelaporan keselamatan yang bertanggungjawab, terutamanya berkenaan OpenBao , sebuah fork yang dikekalkan komuniti daripada Vault . Penyelenggara OpenBao menyatakan kekecewaan kerana mereka tidak dimaklumkan mengenai kelemahan-kelemahan tersebut sebelum pendedahan awam, memaksa mereka tergesa-gesa membuat tampung keselamatan.
Situasi ini menonjolkan cabaran yang semakin berkembang dalam dunia sumber terbuka. Apabila projek-projek bercabang dan berkembang secara berasingan, penyelidik keselamatan menghadapi keputusan sukar mengenai projek mana yang perlu dimaklumkan semasa tempoh pendedahan yang bertanggungjawab. Pasukan OpenBao telah bekerja dengan pantas untuk menampal kod yang terjejas dan telah mengalu-alukan kerjasama masa depan dengan penyelidik keselamatan.
Metodologi Penyelidikan dan Alatan
Tempoh: Hampir 2 tahun siasatan oleh F5 Labs
Pendekatan:
- Semakan kod manual digabungkan dengan analisis statik
- Fokus kepada komponen pengesahan, identiti, dan kebenaran
- Pemeriksaan melangkaui dokumentasi awam
Alatan yang Digunakan:
- VS Code (editor teks)
- GoLand (persekitaran pembangunan)
- Semgrep (alat analisis kod statik)
Versi yang Terjejas: Kedua-dua edisi Vault Enterprise dan Vault Open Source
Hutang Teknikal dan Kebimbangan Kualiti Kod Muncul ke Permukaan
Perbincangan komuniti mendedahkan kebimbangan yang lebih mendalam mengenai kualiti pangkalan kod Vault . Beberapa pembangun yang telah bekerja dengan kod Vault menggambarkannya sebagai bermasalah, dengan seorang menyatakan bahawa ujian sifat mendedahkan banyak pepijat dan kes tepi yang mencadangkan amalan ujian yang tidak mencukupi.
Pangkalan kod adalah kekacauan yang mutlak. Bilangan pepijat dan kes tepi pelik yang saya temui dengan ujian sifat quickcheck saya terhadap API mereka sangat mengejutkan, dan membuatkan saya berfikir suite ujian mereka sangat tidak mencukupi.
Isu-isu kualiti ini bukan hanya kebimbangan akademik - ia secara langsung memberi kesan kepada keselamatan. Banyak daripada kelemahan yang ditemui berpunca daripada pengendalian rentetan yang tidak konsisten dan logik normalisasi yang bertaburan di seluruh pangkalan kod, bukannya dipusatkan dan disahkan dengan betul.
Pasukan penyelidik menggunakan gabungan semakan kod manual dan alat analisis statik automatik untuk mencari isu-isu ini. Pendekatan mereka memberi tumpuan kepada kawasan sensitif keselamatan seperti pengesahan dan kebenaran, menunjukkan bahawa pemeriksaan kod yang menyeluruh masih boleh mendedahkan kelemahan penting yang mungkin terlepas oleh alat automatik.
Semua kelemahan yang dikenal pasti telah ditampal dalam versi semasa Vault , dan pengguna sangat digalakkan untuk mengemaskini dengan segera. Penemuan ini berfungsi sebagai peringatan bahawa walaupun alat keselamatan yang digunakan secara meluas memerlukan penelitian berterusan dan bahawa kerumitan perisian moden boleh menyembunyikan kelemahan serius selama bertahun-tahun.