اكتشف باحثون في الأمن السيبراني أكثر من 14 ثغرة أمنية في أنظمة الخزائن المؤسسية من شركتي «سايبر آرك» و«هاشي كورب»، يمكن استغلالها عن بُعد لاختراق أنظمة الهوية المؤسسية واستخراج الرموز والمفاتيح السرية.
وأوضحت شركة «Cyata» المختصة بأمن الهوية أن الثغرات، التي أُطلق عليها اسم «Vault Fault»، تؤثر على «CyberArk Secrets Manager» ونسخته الذاتية الاستضافة، و«Conjur Open Source»، إضافة إلى «HashiCorp Vault». وقد جرى إغلاق هذه الثغرات بعد الإفصاح عنها في مايو 2025 من خلال تحديثات تضمنت:
- «CyberArk Secrets Manager» و«Self-Hosted» بالإصدارين 13.5.1 و13.6.1
- «CyberArk Conjur Open Source» بالإصدار 1.22.1
- «HashiCorp Vault» (إصدار المجتمع 1.20.2 أو المؤسسة بالإصدارات 1.20.2 و1.19.8 و1.18.13 و1.16.24)
وتشمل الثغرات تجاوز المصادقة، وانتحال الهوية، ورفع الامتيازات، ومسارات لتنفيذ الأوامر البرمجية عن بُعد، وسرقة رموز الجذر. وتُعد الثغرات الأخطر تلك التي تمكّن المهاجم من تنفيذ أوامر عن بُعد والسيطرة على الخزائن دون بيانات اعتماد صالحة، ومنها:
- CVE-2025-49827 (درجة CVSS: 9.1): تجاوز «موثق هوية» (IAM) في «CyberArk Secrets Manager»
- CVE-2025-49831 (درجة CVSS: 9.1): تجاوز «موثق هوية» في «CyberArk Secrets Manager» عبر جهاز شبكي مُهيأ بشكل خاطئ
- CVE-2025-49828 (درجة CVSS: 8.6): تنفيذ أوامر برمجية عن بُعد في «CyberArk Secrets Manager»
- CVE-2025-6000 (درجة CVSS: 9.1): تنفيذ أوامر برمجية عن بُعد عبر إساءة استخدام «كتالوج الإضافات» في «HashiCorp Vault»
- CVE-2025-5999 (درجة CVSS: 7.2): رفع الامتيازات إلى مستوى الجذر عبر «تطبيع السياسات» في «HashiCorp Vault»
كما تم رصد ثغرات في آلية الحماية من محاولات تسجيل الدخول المتكررة في «HashiCorp Vault»، تتيح كشف أسماء المستخدمين الصحيحة عبر قناة جانبية تعتمد على توقيت الاستجابة، وإعادة تعيين عداد الإقفال بتغيير حالة الأحرف في اسم المستخدم المعروف. إضافة إلى ذلك، أمكن تجاوز المصادقة متعددة العوامل (MFA) عند تفعيل خيار «username_as_alias=true» في تهيئة «مصادقة LDAP» وربطها بالتحقق على مستوى «EntityID» أو «IdentityGroup».
وأوضحت الشركة أنه يمكن دمج ثغرة انتحال «كيان الشهادة» (CVE-2025-6037) مع الثغرتين CVE-2025-5999 وCVE-2025-6000 لكسر طبقة المصادقة ورفع الامتيازات وتنفيذ الأوامر البرمجية. وأشارت إلى أن الثغرتين CVE-2025-6037 وCVE-2025-6000 موجودتان منذ أكثر من 8 و9 أعوام على التوالي.
ومن بين السيناريوهات الخطيرة، إمكانية استغلال هذه الثغرات لمسح ملف «core/hsm/_barrier-unseal-keys»، ما يحول ميزة أمنية إلى أداة لشن هجمات شبيهة ببرمجيات الفدية. كما يمكن التحايل على ميزة «مجموعة التحكم» لإرسال واستقبال طلبات HTTP دون تسجيلها، مما يفتح قناة تواصل خفية.
وفي «CyberArk Secrets Manager» و«Conjur»، تُمكّن الثغرات من تجاوز المصادقة ورفع الامتيازات وكشف المعلومات وتنفيذ أوامر عشوائية، عبر تسلسل هجومي يبدأ بتزوير ردود «GetCallerIdentity» ليبدو صالحاً، ثم المصادقة كـ«مورد سياسة»، واستغلال نقطة «Host Factory» لإنشاء مضيف ينتحل قالب سياسة، ثم زرع تعليمات «Embedded Ruby (ERB)» خبيثة وتشغيلها عبر «Policy Factory».
يأتي هذا في وقت كشفت فيه «Cisco Talos» عن ثغرات في «Dell ControlVault3 Firmware» وواجهاته البرمجية على «ويندوز»، يمكن استغلالها لتجاوز تسجيل الدخول للنظام، واستخراج المفاتيح التشفيرية، وزرع برمجيات خبيثة غير قابلة للكشف في البرنامج الثابت، حتى بعد إعادة تثبيت النظام.
وتحمل هذه الثغرات، التي أُطلق عليها اسم «ReVault»، أرقام CVE-2025-25050 وCVE-2025-25215 وCVE-2025-24922 وCVE-2025-24311 وCVE-2025-24919، وتؤثر على أكثر من 100 طراز من حواسيب «Dell» المحمولة المزودة بشرائح «Broadcom BCM5820X».
وحذرت «Cisco Talos» من أن هجوم «ReVault» قد يستخدم كوسيلة استمرار لما بعد الاختراق أو لتنفيذ هجوم مادي لتجاوز تسجيل الدخول في «ويندوز» أو منح أي مستخدم محلي صلاحيات «مدير النظام».
وأوصت الشركات المتأثرة بتطبيق التحديثات الأمنية، وتعطيل خدمات «ControlVault» إذا لم تُستخدم ملحقات مثل قارئ البصمة أو بطاقات الهوية أو الاتصال قريب المدى (NFC)، وإيقاف تسجيل الدخول بالبصمة في البيئات عالية المخاطر.
