ما مجموعه 14 نقاط الضعف والتعرضات الشائعة (CVES) تمتد Cyberark’s Conjur و قبو هاشكورب تم معالجة منصات إدارة أسرار المؤسسات والكشف عنها هذا الأسبوع ، بعد اكتشافها من قبل الباحثين في سياتا، ناشئة ناشئة ومقرها إسرائيل تعمل في مجال الهوية الوكيل.
وقال سياتا إن القضايا الحرجة أظهرت “حل وسط كامل” لأنظمة إدارة الأسرار التي تحمي كل منظمة ثروة 500 تقريبًا. من المحتمل أن تكون مجموعة الضعف ، التي تضم خمسة قضايا بالاشتراك وتسعة في قبو ، قابلة للاستغلال لعدة سنوات وتتضمن قضايا تمكن تنفيذ الرمز البعيد (RCE).
قال الرئيس التنفيذي لشركة Cyata وخريجي Check Point Shahar Tal إن الإفصاحات تمثل سيناريو أسوأ حالة لأمن المؤسسات.
“عندما يتمكن المهاجمون من التنازل عن قبو دون أي مصادقة ، فإنهم يكتسبون حرفيًا مفاتيح المملكة – الوصول إلى كل قاعدة بيانات ، وكل واجهة برمجة تطبيقات [application programming interface]، كل مورد سحابي عبر مؤسسة بأكملها “.
“في بعض الحالات ، حققنا حل وسط كامل من خلال طلب واجهة برمجة تطبيقات واحدة غير مصادقة – لا أوراق اعتماد ، لا احتكاك.”
من الجدير بالذكر بين نقاط الضعف Conjur سلسلة RCE كاملة وغير مصادقة تنشأ من إعداد تكامل خدمات Amazon Web Services (AWS).
عندما يتمكن المهاجمون من التنازل عن قبو دون أي مصادقة ، فإنهم يحصلون على مفاتيح للمملكة – الوصول إلى كل قاعدة بيانات ، وكل واجهة برمجة تطبيقات ، وكل مورد سحابي عبر مؤسسة بأكملها
شاهار تال ، سياتا
من شأن استغلال ذلك تمكين المهاجم من الحصول على التحكم الكامل في النظام دون أي بيانات اعتماد صالحة أو الرموز أو حتى حساب AWS حقيقي.
تبدأ سلسلة الهجوم المعنية بتجاوز مصادقة إدارة الهوية والوصول (IAM) التي تعيد توجيه التحقق من صحة خدمة الرمز المميز لـ AWS (STS) إلى خادم يتحكم فيه المهاجم.
هذا الشرط الذي تم تحقيقه ، يمكن للمهاجم انتحال شخصية أي هوية AWS التي يحبونها دون توفير بيانات اعتماد واحدة ، ثم تصعيد لإنشاء مضيفيهم والتحكم فيه لتحقيق تنفيذ التعليمات البرمجية عن بُعد في سلسلة استغلال “غير ملحوظة ، من البداية إلى العمل” التي تستخدم فيها كل خطوة سلوكًا افتراضيًا لا تتطلع إلى وقت متأخر جدًا.
تم الإبلاغ عن سلسلة استغلال Cyberark في 23 مايو 2025 وفقًا لسياسات الكشف عن المنظمة ، وبدأ إصدار CVES الخمسة في النطاق في 19 يونيو.
عندما لا يمكن الوثوق بالثقة
تم تمكين مجموعة CVEs التسعة من Hashicorp-والتي يتم تصنيفها على أنها أيام الصفر-وتشمل أول قابلية لمرحلة RCE التي تم تحديدها على الإطلاق في تاريخ Vault 10 سنوات ، والتي تنبع من عيب يبدو أنه استغل لفترة طويلة تقريبًا.
بشكل جماعي ، أثرت نقاط الضعف على بعض أساليب المصادقة الأكثر شعبية في Vault ، مثل أسماء المستخدمين التقليدية وكلمات المرور ، وبروتوكول الوصول إلى الدليل الخفيف (LDAP) والمصادقة متعددة العوامل (MFA).
قال باحثو Cyata إن القضايا تنبع بالكامل من العيوب المنطقية والفشل التي ، التي تؤخذ بشكل فردي ، معًا ، تخلق مسارات هجوم خطيرة في عمليات النشر في العالم الحقيقي حيث يمكن أن تنتشف عمليات التكوينات الخاطئة والأذونات المفرطة على نطاق واسع.
ينشأ عيب RCE ، الذي تم تتبعه كـ CVE-2025-6000 ، في نهاية السلسلة ، حيث يمكن للمهاجم من خلاله إنشاء مكون مخصص ضار.
إذا تمكنوا من تحقيق هذا الهدف بنجاح وتنفيذ هجومهم ، فيمكن للمهاجمين تحقيق وصول مستمر ومنخفض الوضوح إلى بيئات ضحاياهم. ولكن بشكل أكثر أهمية ، يمكنهم تحويل آلية تشفير Vault رأسًا على عقب ، وتغييرها من مقياس وقائي إلى مكون في هجوم الابتزاز الفدية.
هذا ممكن لأن Vault يخزن السياسات والأسرار والرموز المشفرة على القرص ، مع ملف محدد مطلوب لفك التشفير. وقال سياتا إنه إذا حذف شخص ما هذا الملف ، فإن Vault سيفقد إمكانية الوصول بشكل دائم إلى مفتاح التشفير الخاص به ، وحتى المسؤول لن يتمكن من استعادته.
كما هو الحال مع Cyberark ، تم الكشف عن نقاط الضعف إلى Hashicorp في مايو ، وتم إصدار CVES في 12 يونيو عبر إصدارات Open Source والمؤسسة من Vault.
نصائح ل cisos
إلى جانب تل ، أظهر الباحث الرئيسي في سياتا Yarden Porat النتائج في القبعة السوداء الولايات المتحدة الأمريكية هذا الأسبوع ، إلى جانب إعلان الكشف المنسق. قامت الشركة أيضًا بإنشاء أ صفحة مقصودة مخصصة حيث يمكن لممارسي الأمن العثور على المزيد من التفاصيل الفنية المتعمقة ، ومؤشرات التسوية (IOCs) وغيرها من الأدوات المفيدة.
بالإضافة إلى الموافقة على التصحيحات من Cyberark و Hashicorp على الفور ، يجب على فرق الأمن أيضًا اتخاذ خطوات لمراجعة سجلات الوصول إلى قبوها لأي نشاط مشبوه ، والعمل على تحديد التنازلات المحتملة باستخدام أدوات الكشف المنشورة حديثًا ، وإعداد خطط الاستجابة للحوادث للسيناريوهات المحددة ، في حالة تفككها.
وقال سياتا إنه سيكون من الحكمة أيضًا التفكير في تنفيذ المزيد من عناصر التحكم في المراقبة والوصول حول أنظمة Vault.
