Los investigadores de seguridad cibernética han descubierto más de una docena de vulnerabilidades en bóvedas seguras empresariales de Cybark y Hashicorp que, si se explotan con éxito, pueden permitir a los atacantes remotos descifrar sistemas de identidad corporativa y extraer secretos y tokens empresariales de ellos.
Las 14 vulnerabilidades, nombradas colectivamente Fault Vault, afectan el administrador de los secretos de Cybark, autohospedados y conjurando el código despejado y la cúpula de Hashicorp, según un crónica de una firma de seguridad de identidad Cyata. A posteriori de la divulgación responsable en mayo de 2025, las fallas se han abordado en las siguientes versiones –
Estos incluyen derivaciones de autenticación, suplantación, errores de ascensión de privilegios, vías de ejecución de código y robo de token raíz. El más severo de los problemas permite la ejecución del código remoto, lo que permite a los atacantes que la admiten la cúpula bajo ciertas condiciones sin ninguna credencial válida –
- CVE-2025-49827 (Puntuación CVSS: 9.1) – Bypass of IAM Authenticator en Cybark Secrets Manager
- CVE-2025-49831 (Puntuación CVSS: 9.1) – Bypass of IAM Authenticator en Cybark Secrets Manager a través de un dispositivo de red mal configurado
- CVE-2025-49828 (Puntuación CVSS: 8.6) – Ejecución de código remoto en Cybark Secrets Manager
- CVE-2025-6000 (Puntuación CVSS: 9.1) – Ejecución de código remoto injusto a través del atropello del catálogo de complementos en Hashicorp Vault
- CVE-2025-5999 (Puntuación de CVSS: 7.2) – Escalación de privilegios a la raíz a través de la normalización de la política en Hashicorp Bault
Adicionalmente, las vulnerabilidades incluso se han descubierto en la deducción de protección de corte de HaShicorp Vault, que está diseñada para distinguir los intentos de fuerza bruta, que podría permitir que un atacante infiera qué usernames son válidos al emplear un canal colateral basado en el tiempo e incluso restablecer el contador de bloqueos al cambiar el caso de un caso conocido (EG, por ejemplo, administrador para mandar).
Otras dos deficiencias identificadas por la compañía israelí permitieron debilitar la aplicación de corte y el eludir la autenticación multifactor (MFA) cuando UserName_As_alias = true en la configuración de autenticación LDAP y la aplicación de la aplicación de MFA se aplica a nivel de entidad o categoría de identidad.
En la esclavitud de ataque detallada por la compañía de seguridad cibernética, es posible emplear un problema de suplantación de entidad certificado (CVE-2025-6037) con CVE-2025-5999 y CVE-2025-6000 para romper la capa de autenticación, privilegios escalados y la ejecución de código. Se dice que CVE-2025-6037 y CVE-2025-6000 existieron durante más de ocho y nueve abriles, respectivamente.
Armado con esta capacidad, un actor de amenaza podría armarse aún más el ataque para eliminar el archivo «Core/HSM/_Barrier-Unseal-Keys», convirtiendo efectivamente una función de seguridad en un vector de ransomware. Adicionalmente, la función de categoría de control se puede socavar para destinar solicitudes HTTP y acoger respuestas sin ser auditadas, creando un canal de comunicación sigiloso.
«Esta investigación muestra cómo la autenticación, la aplicación de políticas y la ejecución de complementos se pueden trastornar a través de errores lógicos, sin tocar la memoria, desencadenar bloqueos o romper la criptografía», dijo el investigador de seguridad Yarden Porat.
En una dirección similar, las vulnerabilidades descubiertas en Cybark Secrets Manager/Conjur permiten el derivación de la autenticación, la ascensión de privilegios, la divulgación de información y la ejecución del código injusto, abriendo efectivamente la puerta a un círculo en el que un atacante puede elaborar una esclavitud de explotación para obtener el ataque no autenticado y la ejecución arbitraria arbitraria.
La secuencia de ataque se desarrolla de la futuro modo –
- IAM Authentication Bypass al forjar respuestas de GetCallerIentity de aspecto válido
- Autenticarse como un apelación político
- Maltratar del punto final de la factoría anfitriona para crear un nuevo huésped que se haga tener lugar por una plantilla de política válida
- Asignado una carga de rubí incrustada (ERB) maliciosa directamente al host
- Activar la ejecución del ERB adjunto invocando el punto final de factoría de políticas
«Esta esclavitud de exploit pasó del ataque no autenticado a la ejecución completa del código remoto sin proporcionar una contraseña, token o credenciales de AWS», señaló Porat.
La divulgación se produce cuando Cisco Talos detalló las fallas de seguridad en el firmware ControlVault3 de Dell y sus API de Windows asociadas que los atacantes podrían deber abusado de los atacantes para evitar el inicio de sesión de Windows, extraer claves criptográficas, así como surtir el ataque incluso posteriormente de una nueva instalación del sistema operante al implementar implantes maliciosos indetectables en la firma.
Juntas, estas vulnerabilidades crean un potente método remoto de persistencia posterior a la compromiso para el ataque encubierto a entornos de parada valía. Las vulnerabilidades identificadas son las siguientes
- CVE-2025-25050 (Puntuación CVSS: 8.8)-Existe una vulnerabilidad de escritura fuera de los límites en la funcionalidad CV_UPGRADE_SENSOR_Firmware que podría conducir a una escritura fuera de los límites
- CVE-2025-25215 (Puntuación CVSS: 8.8) – Existe una vulnerabilidad libertado arbitraria en la funcionalidad CV_CLOSE que podría conducir a una libertado arbitraria
- CVE-2025-24922 (Puntuación CVSS: 8.8): existe una vulnerabilidad de desbordamiento de búfer basada en la pila en la funcionalidad SecureBio_identify que podría conducir a la ejecución del código injusto
- CVE-2025-24311 (Puntuación CVSS: 8.4)-Existe una vulnerabilidad de leída fuera de los límites en la funcionalidad CV_SEND_BLOCKDATA que podría conducir a una fuga de información
- CVE-2025-24919 (Puntuación CVSS: 8.1): existe una deserialización de la vulnerabilidad de entrada no confiable en la funcionalidad CVHDecapsulateCMD que podría conducir a la ejecución del código injusto
Las vulnerabilidades han sido nombradas en código Revault. Más de 100 modelos de computadoras portátiles Dell que ejecutan Broadcom BCM5820X se ven afectados los chips de la serie. No hay evidencia de que las vulnerabilidades hayan sido explotadas en la naturaleza.
La compañía de seguridad cibernética incluso señaló que un atacante particular con ataque físico a la computadora portátil de un heredero podría abrirla y obtener a la placa de Security Security Hub (USH), lo que permite a un atacante explotar cualquiera de las cinco vulnerabilidades sin tener que iniciar sesión o poseer una contraseña de secreto de disco completo.
«El ataque de Revault se puede utilizar como una técnica de persistencia posterior a la compromiso que puede permanecer incluso en las reinstalaciones de Windows», dijo el investigador de Cisco Talos, Philippe Laulheret. «El ataque de Revault incluso se puede utilizar como un compromiso físico para evitar el inicio de sesión de Windows y/o para cualquier heredero particular obtener privilegios de agencia/sistema».
Para mitigar el peligro planteado por estos defectos, se recomienda a los usuarios que apliquen las soluciones proporcionadas por Dell; Deshabilite los servicios de ControlVault si los periféricos como los lectores de huellas digitales, los lectores de tarjetas inteligentes y los lectores de comunicación de campo cercano (NFC) no se están utilizando; y apague el inicio de sesión de la huella digital en situaciones de parada peligro.
