Los investigadores de seguridad cibernética han descubierto más de una docena de vulnerabilidades en bóvedas seguras empresariales de Cybark y Hashicorp que, si se explotan con éxito, pueden permitir a los atacantes remotos descifrar sistemas de identidad corporativa y extraer secretos y tokens empresariales de ellos.
Las 14 vulnerabilidades, nombradas colectivamente Fault Vault, afectan el administrador de los secretos de Cybark, autohospedados y conjurando el código abierto y la bóveda de Hashicorp, según un informe de una firma de seguridad de identidad Cyata. Después de la divulgación responsable en mayo de 2025, las fallas se han abordado en las siguientes versiones –
Estos incluyen derivaciones de autenticación, suplantación, errores de escalada de privilegios, vías de ejecución de código y robo de token raíz. El más severo de los problemas permite la ejecución del código remoto, lo que permite a los atacantes que la admiten la bóveda bajo ciertas condiciones sin ninguna credencial válida –
- CVE-2025-49827 (Puntuación CVSS: 9.1) – Bypass of IAM Authenticator en Cybark Secrets Manager
- CVE-2025-49831 (Puntuación CVSS: 9.1) – Bypass of IAM Authenticator en Cybark Secrets Manager a través de un dispositivo de red mal configurado
- CVE-2025-49828 (Puntuación CVSS: 8.6) – Ejecución de código remoto en Cybark Secrets Manager
- CVE-2025-6000 (Puntuación CVSS: 9.1) – Ejecución de código remoto arbitrario a través del abuso del catálogo de complementos en Hashicorp Vault
- CVE-2025-5999 (Puntuación de CVSS: 7.2) – Escalación de privilegios a la raíz a través de la normalización de la política en Hashicorp Bault
Además, las vulnerabilidades también se han descubierto en la lógica de protección de bloqueo de HaShicorp Vault, que está diseñada para seleccionar los intentos de fuerza bruta, que podría permitir que un atacante infiera qué usernames son válidos al aprovechar un canal lateral basado en el tiempo e incluso restablecer el contador de bloqueos al cambiar el caso de un caso conocido (EG, por ejemplo, administrador para administrar).
Otras dos deficiencias identificadas por la compañía israelí permitieron debilitar la aplicación de bloqueo y el omitir la autenticación multifactor (MFA) cuando UserName_As_alias = true en la configuración de autenticación LDAP y la aplicación de la aplicación de MFA se aplica a nivel de entidad o grupo de identidad.
En la cadena de ataque detallada por la compañía de seguridad cibernética, es posible aprovechar un problema de suplantación de entidad certificado (CVE-2025-6037) con CVE-2025-5999 y CVE-2025-6000 para romper la capa de autenticación, privilegios escalados y la ejecución de código. Se dice que CVE-2025-6037 y CVE-2025-6000 existieron durante más de ocho y nueve años, respectivamente.
Armado con esta capacidad, un actor de amenaza podría armarse aún más el acceso para eliminar el archivo «Core/HSM/_Barrier-Unseal-Keys», convirtiendo efectivamente una función de seguridad en un vector de ransomware. Además, la función de grupo de control se puede socavar para enviar solicitudes HTTP y recibir respuestas sin ser auditadas, creando un canal de comunicación sigiloso.
«Esta investigación muestra cómo la autenticación, la aplicación de políticas y la ejecución de complementos se pueden subvertir a través de errores lógicos, sin tocar la memoria, desencadenar bloqueos o romper la criptografía», dijo el investigador de seguridad Yarden Porat.
En una línea similar, las vulnerabilidades descubiertas en Cybark Secrets Manager/Conjur permiten el derivación de la autenticación, la escalada de privilegios, la divulgación de información y la ejecución del código arbitrario, abriendo efectivamente la puerta a un escenario en el que un atacante puede elaborar una cadena de explotación para obtener el acceso no autenticado y la ejecución arbitraria arbitraria.
La secuencia de ataque se desarrolla de la siguiente manera –
- IAM Authentication Bypass al forjar respuestas de GetCallerIentity de aspecto válido
- Autenticarse como un recurso político
- Abusar del punto final de la fábrica anfitriona para crear un nuevo anfitrión que se haga pasar por una plantilla de política válida
- Asignado una carga de rubí incrustada (ERB) maliciosa directamente al host
- Activar la ejecución del ERB adjunto invocando el punto final de fábrica de políticas
«Esta cadena de exploit pasó del acceso no autenticado a la ejecución completa del código remoto sin proporcionar una contraseña, token o credenciales de AWS», señaló Porat.
La divulgación se produce cuando Cisco Talos detalló las fallas de seguridad en el firmware ControlVault3 de Dell y sus API de Windows asociadas que los atacantes podrían haber abusado de los atacantes para evitar el inicio de sesión de Windows, extraer claves criptográficas, así como mantener el acceso incluso después de una nueva instalación del sistema operativo al implementar implantes maliciosos indetectables en la firma.
Juntas, estas vulnerabilidades crean un potente método remoto de persistencia posterior a la compromiso para el acceso encubierto a entornos de alto valor. Las vulnerabilidades identificadas son las siguientes
- CVE-2025-25050 (Puntuación CVSS: 8.8)-Existe una vulnerabilidad de escritura fuera de los límites en la funcionalidad CV_UPGRADE_SENSOR_Firmware que podría conducir a una escritura fuera de los límites
- CVE-2025-25215 (Puntuación CVSS: 8.8) – Existe una vulnerabilidad libre arbitraria en la funcionalidad CV_CLOSE que podría conducir a una libre arbitraria
- CVE-2025-24922 (Puntuación CVSS: 8.8): existe una vulnerabilidad de desbordamiento de búfer basada en la pila en la funcionalidad SecureBio_identify que podría conducir a la ejecución del código arbitrario
- CVE-2025-24311 (Puntuación CVSS: 8.4)-Existe una vulnerabilidad de lectura fuera de los límites en la funcionalidad CV_SEND_BLOCKDATA que podría conducir a una fuga de información
- CVE-2025-24919 (Puntuación CVSS: 8.1): existe una deserialización de la vulnerabilidad de entrada no confiable en la funcionalidad CVHDecapsulateCMD que podría conducir a la ejecución del código arbitrario
Las vulnerabilidades han sido nombradas en código Revault. Más de 100 modelos de computadoras portátiles Dell que ejecutan Broadcom BCM5820X se ven afectados los chips de la serie. No hay evidencia de que las vulnerabilidades hayan sido explotadas en la naturaleza.
La compañía de seguridad cibernética también señaló que un atacante local con acceso físico a la computadora portátil de un usuario podría abrirla y acceder a la placa de Security Security Hub (USH), lo que permite a un atacante explotar cualquiera de las cinco vulnerabilidades sin tener que iniciar sesión o poseer una contraseña de cifrado de disco completo.
«El ataque de Revault se puede utilizar como una técnica de persistencia posterior a la compromiso que puede permanecer incluso en las reinstalaciones de Windows», dijo el investigador de Cisco Talos, Philippe Laulheret. «El ataque de Revault también se puede utilizar como un compromiso físico para evitar el inicio de sesión de Windows y/o para cualquier usuario local obtener privilegios de administración/sistema».
Para mitigar el riesgo planteado por estos defectos, se recomienda a los usuarios que apliquen las soluciones proporcionadas por Dell; Deshabilite los servicios de ControlVault si los periféricos como los lectores de huellas digitales, los lectores de tarjetas inteligentes y los lectores de comunicación de campo cercano (NFC) no se están utilizando; y apague el inicio de sesión de la huella digital en situaciones de alto riesgo.