{"id":14581,"date":"2025-08-07T11:48:40","date_gmt":"2025-08-07T11:48:40","guid":{"rendered":"https:\/\/newestek.com\/?p=14581"},"modified":"2025-08-07T11:48:40","modified_gmt":"2025-08-07T11:48:40","slug":"hashicorp-vault-cyberark-conjur-kompromittiert","status":"publish","type":"post","link":"https:\/\/newestek.com\/?p=14581","title":{"rendered":"HashiCorp Vault &amp; CyberArk Conjur kompromittiert"},"content":{"rendered":"<div>\n<div id=\"remove_no_follow\">\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<section class=\"wp-block-bigbite-multi-title\">\n<div class=\"container\"><\/div>\n<\/section>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">\n<figure class=\"wp-block-image size-large\"><figcaption class=\"wp-element-caption\">Secrets Management und Remote Code Exceution gehen nicht gut zusammen.<\/figcaption><\/figure>\n<p class=\"imageCredit\">Alexsander Ovsyannikov | shutterstock.com<\/p>\n<\/div>\n<p>In Enterprise-Umgebungen \u00fcbersteigt die Anzahl nicht-menschlicher Identit\u00e4ten (wie sie beispielsweise von Anwendungen und Maschinen verwendet werden), die Anzahl menschlicher Identit\u00e4ten sch\u00e4tzungsweise um das 150-Fache. Damit sind Credential- oder <a href=\"https:\/\/www.csoonline.com\/article\/3493018\/sensible-daten-schutzen-secrets-management-im-devsecops-zeitalter.html\" target=\"_blank\">Secrets-Management-Systeme<\/a> eine kritische Komponente der IT-Infrastruktur. Umso fataler sind die Erkenntnisse, die Sicherheitsexperten des Identity-Spezialisten Cyata bei der Analyse zweier weit verbreiteter Open-Source-L\u00f6sungen in diesem Bereich <a href=\"https:\/\/cyata.ai\/blog\/cracking-the-vault-how-we-found-zero-day-flaws-in-authentication-identity-and-authorization-in-hashicorp-vault\/\" target=\"_blank\" rel=\"noreferrer noopener\">gewonnen haben<\/a>. <\/p>\n<p>Demnach wiesen verschiedene Komponenten von <strong>HashiCorp Vault<\/strong> und <strong>CyberArk Conjur<\/strong> insgesamt 14 logische Schwachstellen auf. Diese erm\u00f6glichten den Forschern zufolge unter anderem,<\/p>\n<ul class=\"wp-block-list\">\n<li>Authentifizierungspr\u00fcfungen zu umgehen,<\/li>\n<li>auf die in den Systemen gespeicherten Zugangsdaten zuzugreifen, und<\/li>\n<li>aus der Ferne Code auszuf\u00fchren.<\/li>\n<\/ul>\n<p>\u201cWeil Secrets-Management-Systeme die Anmeldedaten, Token und Zertifikate speichern, die den Zugriff auf Systeme, Dienste, <a href=\"https:\/\/www.computerwoche.de\/article\/2790525\/was-sie-ueber-application-programming-interfaces-wissen-muessen.html\" target=\"_blank\">APIs<\/a> und Daten regeln, sind sie nicht nur Teil des Trust Model. Sie sind das Trust Model. Ist Ihr Vault also kompromittiert, ist Ihre Infrastruktur bereits verloren\u201d, warnen die Sicherheitsexperten in ihrem Blogbeitrag. Ihre Erkenntnisse pr\u00e4sentierten sie auch auf der Security-Konferenz <a href=\"https:\/\/www.csoonline.com\/article\/3482049\/black-hat-latest-news-and-insights.html\" target=\"_blank\">Black Hat USA in Las Vegas<\/a>. <\/p>\n<p>Auch wenn die <a href=\"https:\/\/www.csoonline.com\/article\/3492373\/8-vulnerability-management-tipps-wie-sie-schwachstellen-effektiver-managen.html\" target=\"_blank\">Schwachstellen<\/a> in HashiCorp Vault und CyberArk Conjur inzwischen gepatcht wurden, sind die Erkenntnisse der Forscher be\u00e4ngstigend. Schlie\u00dflich speichern die beiden Secrets-Management-Systeme nicht nur Zugangsdaten und andere geheime Informationen. Sie erm\u00f6glichen den Anwendern auch, Richtlinien f\u00fcr den Zugriff auf und die Verwendung dieser Secrets zu definieren, Audits durchzuf\u00fchren und vieles mehr.<\/p>\n<h2 class=\"wp-block-heading\" id=\"wie-cyberark-conjur-gehackt-wurde\">Wie CyberArk Conjur gehackt wurde<\/h2>\n<p>Die Attack Chain, die die Cyata-Experten in Zusammenhang mit CyberArk Conjur entdeckt haben, begann mit einem einfachen Fehler im Code, der zum Einsatz kommt, um AWS-<a href=\"https:\/\/www.csoonline.com\/article\/3495114\/identity-access-managementdie-9-besten-iam-tools.html\" target=\"_blank\">IAM<\/a>-Identit\u00e4ten zu validieren. Dabei unterst\u00fctzt Conjur f\u00fcr AWS-Instanzen die Authentifizierung \u00fcber den hauseigenen Security Token Service (STS). Das erm\u00f6glicht es, Workflows ohne fest codierte Anmeldedaten zu authentifizieren. Dazu generiert eine AWS-Instanz einen signierten Header, den Conjur dann an den STS weiterleitet. <\/p>\n<p>Der Service validiert die Signatur und gibt die Identit\u00e4t der Instanz zur\u00fcck. Allerdings sind STS-Server regionsspezifisch: Instanzen in us-east-1 m\u00fcssen beispielsweise sts.us-east-1.amazonaws.com verwenden. Conjur ermittelt die richtige STS-Region anhand des im signierten Header enthaltenen Hostnamens der Instanz. Das Problem: Der Hostname im Header kann von Angreifern kontrolliert werden. Das w\u00e4re normalerweise kein Problem, weil eine gef\u00e4lschte Signatur im Regelfall die Validierungspr\u00fcfung einer legitimen STS-Instanz nicht bestehen w\u00fcrde.<\/p>\n<p>Allerdings konnte Conjur wegen des Fehlers im Code keine Sonderzeichen im Hostnamen bereinigen. So war es den Forschern m\u00f6glich, eine Anfrage mit einem Hostnamen wie sts.cyata.ai? zu erstellen, den Conjur anschlie\u00dfend in sts.cyata.ai?.amazonaws.com umwandelte. In der Praxis wird jedoch der Teil nach dem hinzugef\u00fcgten Fragezeichen in URLs ignoriert, sodass die Anfragen an sts.cyata.ai gesendet wurden (einen malizi\u00f6sen STS-Server, der unter der Kontrolle der Forscher stand) und die Validierung bestanden. \u201cDas war der erste Schritt in der Kette, der es nicht-authentifizierten Angreifern erm\u00f6glicht, in das System einzudringen und dabei als legitime AWS-Identit\u00e4t zu erscheinen\u201d, konstatieren die Sicherheitsexperten. \u00a0<\/p>\n<p>Die Forscher untersuchten zudem, wie sich das Ressourcenmodell von Conjur missbrauchen l\u00e4sst. Dieses verwendet drei Parameter, die auch bei API-Abfragen zum Einsatz kommen:<\/p>\n<ul class=\"wp-block-list\">\n<li>Account (Conjur-Konto-Name),<\/li>\n<li>Kind (Ressourcentyp \u2013 Host, Benutzer, Variable, Richtlinie, etc.) sowie<\/li>\n<li>Identifier (eindeutiger Ressourcenname).<\/li>\n<\/ul>\n<p>Diesbez\u00fcglich fanden die Forscher heraus, dass die Authentifizierungslogik von Conjur den Ressourcentyp-\u201cTeil\u201d einer Identit\u00e4t nicht validierte. So war es ihnen dann m\u00f6glich, ihre gef\u00e4lschte AWS-Identit\u00e4t zu verwenden, um sich als Benutzer oder Richtlinie im System zu authentifizieren \u2013 anstelle eines Hosts. \u201cDieser Schritt hat ein neues Level er\u00f6ffnet und aus einem nicht-authentifiziertem Zugriff eine signifikante Angriffsfl\u00e4che in Conjur geschaffen\u201d, unterstreichen die Experten. \u201cDurch die Kombination einer gef\u00e4lschten STS-Antwort, einer Richtlinienidentit\u00e4t anstelle eines Hosts und Schwachstellen im Host-Factory-Ablauf konnten wir neue Hosts erstellen, deren Namen und Ownership vollst\u00e4ndig unter unserer Kontrolle standen.\u201d<\/p>\n<p>Im n\u00e4chsten Schritt nahmen die Cyata-Experten auch die Policy Factory von Conjur in Augenschein \u2013 einen Mechanismus, mit dem Administratoren wiederverwendbare Richtlinienvorlagen auf neue Ressourcen anwenden k\u00f6nnen. Diese Templates k\u00f6nnen auch Embedded Ruby (ERB)-Code enthalten. Das Ziel der Forscher: Ein Template mit beliebigem ERB-Code zu erstellen und den Code remote auszuf\u00fchren. Die Forscher stellten fest, dass Richtlinien-Templates in der Secrets-Tabelle von Conjur gespeichert waren. Dabei sollten diese lediglich Ressourcen vom Typ \u201cVariable\u201d zugewiesen werden. In der Praxis wurde diese Einschr\u00e4nkung in CyberArks Secrets-Management-Tool allerdings nicht durchgesetzt: \u201cDas war der letzte Schritt, der f\u00fcr eine vollumf\u00e4ngliche Remote Code Execution n\u00f6tig war. Wir haben Conjur dazu gebracht, einen Host so abzurufen, als w\u00e4re er eine Variable. Wir haben ERB als Secret zugewiesen und Conjur hat es wie vorgesehen ausgef\u00fchrt\u201d, erkl\u00e4ren die Experten.<\/p>\n<p>CyberArk hat die beschriebenen Schwachstellen im Juni 2025 behoben und f\u00fcnf separate CVEs ver\u00f6ffentlicht.<\/p>\n<h2 class=\"wp-block-heading\" id=\"wie-hashicorp-vault-gehackt-wurde\">Wie HashiCorp Vault gehackt wurde<\/h2>\n<p>HashiCorps Open-Source-System Vault erf\u00fcllt einen \u00e4hnlichen Zweck wie CyberArk Conjur und ist auch in einer Enterprise-Edition erh\u00e4ltlich. Anwender legen hier geheime Informationen ab, die eingesetzt werden, um sich in verteilten Systemen innerhalb von <a href=\"https:\/\/www.csoonline.com\/article\/3560109\/security-tools-fur-ki-infrastrukturen-ein-kaufratgeber.html\" target=\"_blank\">Multi- und Hybrid-Cloud-Umgebungen<\/a> zu authentifizieren. Wie bei Conjur \u00fcberpr\u00fcften die Cyata-Forscher auch den Code von Vault manuell und konzentrierten sich dabei auf Logikfehler in Komponenten, die f\u00fcr die Authentifizierung und die Durchsetzung von Richtlinien verantwortlich sind. Das f\u00f6rderte neun Schwachstellen zutage, darunter auch eine, \u00fcber die <a href=\"https:\/\/www.csoonline.com\/article\/3493898\/was-ist-remote-code-execution.html\" target=\"_blank\">Remote Code Execution<\/a> m\u00f6glich war.<\/p>\n<p>Die Forscher untersuchten zun\u00e4chst die am h\u00e4ufigsten verwendeten Authentifizierungsmethoden von Vault:<\/p>\n<ul class=\"wp-block-list\">\n<li>das herk\u00f6mmliche Benutzername-Passwort-Verfahren (Userpass-Methode),<\/li>\n<li>LDAP, das auf Directory Services wie Active Directory oder OpenLDAP basiert, sowie<\/li>\n<li>die Zertifikat-basierte Authentifizierung \u00fcber TLS, die h\u00e4ufig f\u00fcr die Kommunikation zwischen Maschinen verwendet wird.<\/li>\n<\/ul>\n<p>Bei der Userpass-Methode fanden sie eine Schwachstelle, die es Angreifern einerseits erm\u00f6glichte, festzustellen, ob ein Benutzername existiert. Andererseits auch die M\u00f6glichkeit er\u00f6ffnete, <a href=\"https:\/\/www.computerwoche.de\/article\/2797010\/was-sie-ueber-hacker-gewaltakte-wissen-muessen.html\" target=\"_blank\">Brute-Force<\/a>-Schutzma\u00dfnahmen zu umgehen, die nach mehreren fehlgeschlagenen Anmeldeversuchen das betreffende Konto sperren sollten. \u00c4hnliche Umgehungsm\u00f6glichkeiten deckten die Forscher auch in Zusammenhang mit LDAP auf \u2013 insbesondere mit Blick auf <a href=\"https:\/\/www.csoonline.com\/article\/3491889\/multi-faktor-authentifizierung-die-grosten-lucken-im-mfa-schutz.html\" target=\"_blank\">Multi-Faktor Authentifizierung<\/a> (MFA): Bugs in dem in vielen Deployments aktivierten TOTP-Methode (zeitlich begrenzte Einmalpassw\u00f6rter) erm\u00f6glichten es ebenfalls, Brute-Force-Schutzma\u00dfnahmen zu umgehen und MFA-Codes zu \u201cerraten\u201d ohne eine Kontosperrung zu triggern.<\/p>\n<p>Bei der Authentifizierung auf Zertifikatbasis entdeckten die Forscher einen weiteren Logikfehler. So \u00fcberpr\u00fcfte HashiCorp Vault in diesem Fall lediglich, ob der Public Key des TLS-Client-Zertifikats mit dem angehefteten Zertifikat \u00fcbereinstimmt \u2013 lie\u00df dabei aber den Zertifikatsnamen (ZN) au\u00dfen vor. Da Vault den ZN-Wert verwendet, um eine interne EntityID zuzuordnen, k\u00f6nnten Angreifer mit Zugriff auf den Private Key einen g\u00fcltigen Public Key und eine gef\u00e4lschte ZN erstellen und sich so mit einer falschen Identit\u00e4t \u201cschm\u00fccken\u201d. Eine weitere Schwachstelle erm\u00f6glichte laut den Sicherheitsprofis au\u00dferdem eine <a href=\"https:\/\/www.computerwoche.de\/article\/2797569\/was-sie-ueber-rechteausweitung-wissen-muessen.html\" target=\"_blank\">Rechteausweitung<\/a>, die Administrator-Konten mit Root-Zugriff ausstattete. Das sollte das HashiCorp-Tool standardm\u00e4\u00dfig eigentlich verhindern, um das Risiko einer vollst\u00e4ndigen Kompromittierung zu minimieren.<\/p>\n<p>Die laut den Forschern kritischste Schwachstelle fand sich bei HashiCorp Vault allerdings im Logging-System. Das erm\u00f6glichte, die Funktionalit\u00e4t des Open-Source-Tools \u00fcber Plugins, beziehungsweise Bin\u00e4rdateien von <a href=\"https:\/\/www.csoonline.com\/article\/3492170\/third-party-risk-management-5-wege-mit-drittanbietern-unterzugehen.html\" target=\"_blank\">Drittanbietern<\/a>, so zu erweitern, dass es ebenfalls m\u00f6glich war, remote Code auszuf\u00fchren. Dazu mussten die Forscher im ersten Schritt Code in eine Datei im Plugin-Verzeichnis schreiben und Execution-Rechte definieren. Das gelang ihnen, indem sie die Audit-Komponente des Tools manipulierten und mithilfe eines benutzerdefinierten Pr\u00e4fixes b\u00f6sartigen Code in Protokolle einf\u00fcgten. Diese wurden dann in das Verzeichnis der Plugins geschrieben. <\/p>\n<p>Diese Schwachstelle (<a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-6000\" target=\"_blank\" rel=\"noreferrer noopener\">CVE-2025-6000<\/a>) war also das Ergebnis mehrerer logischer Fehler und bestand offensichtlich bereits seit den Anf\u00e4ngen des Vault-Projekts. Nachdem Cyata die Infos zu den gefundenen Schwachstellen an HashiCorp weitergegeben hat, wurden diese per Softwareaktualisierung geschlossen. Der Anbieter ver\u00f6ffentlichte zudem <a href=\"https:\/\/discuss.hashicorp.com\/t\/hcsec-2025-22-multiple-vulnerabilities-impacting-hashicorp-vault-and-vault-enterprise\/76096\" target=\"_blank\" rel=\"noreferrer noopener\">Sicherheits-Bulletins<\/a> mit detaillierten Informationen zu den Problemen. \u201cUnsere Untersuchung best\u00e4tigt eine wichtige Erkenntnis: Selbst Software, die \u2018memory-safe\u2019 ist, kann auf logischer Ebene versagen \u2013 und wenn es dazu kommt, k\u00f6nnen die Folgen gravierend ausfallen\u201d, warnen die Forscher und f\u00fcgen hinzu: \u201cUnsere Arbeit demonstriert wie subtile Logikfehler in Authentifizierungsprozessen, Identity Resolution und Policy Enforcement heimlich still und leise das Trust Model zerst\u00f6ren.\u201d (fm)<\/p>\n<p><strong>Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong><a href=\"https:\/\/www.csoonline.com\/de\/newsletters\/signup\/\" target=\"_blank\"><strong>Unser kostenloser Newsletter<\/strong><\/a><strong> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Secrets Management und Remote Code Exceution gehen nicht gut zusammen. Alexsander Ovsyannikov | shutterstock.com In Enterprise-Umgebungen \u00fcbersteigt die Anzahl nicht-menschlicher Identit\u00e4ten (wie sie beispielsweise von Anwendungen und Maschinen verwendet werden), die Anzahl menschlicher Identit\u00e4ten sch\u00e4tzungsweise um das 150-Fache. Damit sind Credential- oder Secrets-Management-Systeme eine kritische Komponente der IT-Infrastruktur. Umso fataler sind die Erkenntnisse, die Sicherheitsexperten des Identity-Spezialisten Cyata bei der Analyse zweier weit verbreiteter Open-Source-L\u00f6sungen&#8230; <\/p>\n<p class=\"more\"><a class=\"more-link\" href=\"https:\/\/newestek.com\/?p=14581\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-14581","post","type-post","status-publish","format-standard","hentry","category-uncategorized","is-cat-link-borders-light is-cat-link-rounded"],"_links":{"self":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/14581","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=14581"}],"version-history":[{"count":0,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/14581\/revisions"}],"wp:attachment":[{"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=14581"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=14581"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=14581"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}