HashiCorp Vault 0-Day Vulnerabilities Let Attackers Execute Remote Code
2025/08/07 CyberSecurityNews — 広く採用されている秘密情報のための管理ソリューションで HashiCorp Vault に、複数のゼロデイ脆弱性が存在していることが、2025年8月の初旬にセキュリティ研究者たちにより明らかにされた。これらの脆弱性が引き起こす、認証バイパス/ポリシー適用の不整合/監査ログの悪用などにより、End-to-End の攻撃経路が形成され、最終的には Vault サーバ上でのリモートコード実行 (RCE) にいたるという。
Vault のリクエスト・ルーティングとプラグイン・インターフェイスの手動コード・レビューで、最初に発見されたロジック・レベルでの欠陥の証拠は、一般的なメモリ破損エクスプロイトではなく、隠れたロジックの不一致であった。
ユーザー組織のマルチクラウド環境において、API キー/証明書/暗号化キーの保護に Vault を利用するケースが増えているだけに、この脆弱性の発見はサイバー・セキュリティ・コミュニティに衝撃を与えた。
CYATA のアナリストたちが指摘するのは、一部の脆弱性は 10 年近く存在し続け、コア認証フローに埋め込まれており、最近の綿密な手動監査により露呈したという点である。
.webp)
その影響は、PoC エクスプロイトの範囲に留まらない。これらの問題を連鎖させる攻撃者は、Userpass/LDAP バックエンドのロックアウト保護を回避し、TOTP MFA 制約を無効化し、証明書認証を介してマシン ID を偽装し、最終的に管理者トークンから root への権限昇格を実行できる。
その結果として生じるリモート・コード実行の手法は、Vault の歴史において新しいものである。攻撃者が悪用するのは、バッファ・オーバーフローではなく、平文で記録された監査ログであり、Vault のプラグイン・ディレクトリへの、細工されたシェル・ペイロード挿入を可能にする。
.webp)
続いて攻撃者は、シェバンと Bash コマンドを取り込んだカスタム・プレフィックスを、監査バックエンドに設定し、Vault に実行スクリプトを生成させる。その後に、TCP ストリーム監査バックエンドを通じてペイロードを取得し、一致する SHA256 ハッシュを計算することで Vault のプラグイン登録要件を満たし、コード実行をトリガーする。
.webp)
ユーザー組織にとって必要なことは、責任ある情報開示と共にリリースされた、パッチ適用済みバージョンへの速やかなアップグレードである。すでに HashiCorp は、9件の CVE に対応するアドバイザリを公開し、正規化ルーチンやポリシーチェックを強化している。
CYATA と HashiCorp の協調対応は、効果的な脆弱性管理の好例である。それと同時に、標準的なファジングやペネトレーション・テストに加えて、徹底的なロジック検証の必要性を浮き彫りにしている。
パーシスタンス戦術
最も顕著なパーシスタンス戦術は、Vault の監査ログ・サブシステムを悪用した、悪意のコードの埋め込みにある。Vault がサポートするものには、複数のコンカレント監査バックエンドがあり、それぞれのコンフィグ可能なファイル・モードで、任意のパスに構造化された JSON を書き込める仕組みとなっている。
したがって攻撃者は、存在しないプラグイン名でプラグイン・カタログ・エンドポイント (POST /v1/sys/plugins/catalog/:type/:name) をプローブし、エラーを誘発させることで、plugin_directory の絶対パスを漏洩させる。その後に、ファイル・ベースの監査バックエンドを有効化し、悪意のシェルスクリプトを生成させる。
audit "file" {
log_path = "/opt/vault/plugins/evil.sh"
prefix = "#!/bin/bash\n$(cat /tmp/secret_payload)\n"
mode = "0755"
}
さらに TCP 監査バックエンドで、攻撃者が制御のソケットへと、同一のペイロードを送信し、正確なバイト列をハッシュ化して Vault プラグイン登録を通過させ、Vault プロセス内で任意のコードを実行できるようにする。
vault write sys/plugins/catalog/secret/evil \
sha256="" command="evil.sh"
主な CVE の例は以下の通りである。
| CVE | Root Cause | Attacker Impact |
|---|---|---|
| CVE-2025-6004 | Username lockout bypass via case and whitespace | Unlimited brute-force attempts; username enumeration |
| CVE-2025-6011 | Timing difference on bcrypt skip for non-existent users | Username validation oracle; targeted credential attacks |
| CVE-2025-6003 | MFA bypass when username_as_alias=true and EntityID mismatch | Silently skips TOTP requirement under certain LDAP configurations |
| CVE-2025-6016 | Combined TOTP logic flaws (replay, rate limit evasion) | Brute-force valid TOTP codes; bypass one-time use and rate-limiting |
| CVE-2025-6037 | CN unchecked in non-CA cert auth | Impersonation of arbitrary machine identities with valid public key |
| CVE-2025-5999 | Policy normalization mismatch | Admin can assign " root" or uppercase "ROOT" policy names to escalate to root privileges |
| CVE-2025-6000 | Audit-log prefix abuse for plugin creation | Remote code execution with no memory corruption via malicious audit-log-backed plugin registration |
この一連の論理レベル脆弱性が示すのは、入力の正規化とポリシーの適用が乖離するときには、メモリセーフなアーキテクチャであっても、深刻な欠陥を生み出すことである。
サイバー・セキュリティ・チームにとって必要なことは、ブラックボックス・テストに加えて、徹底的なソースコード分析を行い、攻撃者に悪用される前に信頼モデルの不整合を特定することである。
HashiCorp Vault に、複数のゼロデイ脆弱性が発見されたとのことです。原因はメモリ破損ではなく、認証フロー/ポリシー適用/入力正規化の不整合にあると、この記事は報じています。文中でも指摘されていますが、ロジック・レベルの欠陥とのことであり、翻訳していても、文脈を掴み難いところがありました。とにかく、ご利用のチームは、ご注意ください。よろしければ、HashiCorp で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.