Los investigadores de seguridad cibernética han descubierto más de una docena de vulnerabilidades en bóvedas seguras empresariales de Cybark y Hashicorp que, si se explotan con éxito, pueden permitir a los atacantes remotos descifrar sistemas de identidad corporativa y extraer secretos y tokens empresariales de ellos. Las 14 vulnerabilidades, nombradas colectivamente Fault Vault, afectan el administrador de los secretos de Cybark, autohospedados y conjurando el código abierto y la bóveda de Hashicorp, según un informe de una firma de seguridad de identidad Cyata. Después de la divulgación responsable en mayo de 2025, las fallas se han abordado en las siguientes versiones: estos incluyen derivaciones de autenticación, suplantación, errores de escalada de privilegios, vías de ejecución de código y robo de token raíz. The most severe of the issues allows for remote code execution, allowing attackers to takeover the vault under certain conditions without any valid credentials – CVE-2025-49827 (CVSS score: 9.1) – Bypass of IAM authenticator in CyberArk Secrets Manager CVE-2025-49831 (CVSS score: 9.1) – Bypass of IAM authenticator in CyberArk Secrets Manager via a misconfigured network device CVE-2025-49828 (CVSS score: 8.6) – Remote code execution in CyberArk Secrets Manager CVE-2025-6000 (CVSS score: 9.1) – Arbitrary remote code execution via plugin catalog abuse in HashiCorp Vault CVE-2025-5999 (CVSS score: 7.2) – Privilege escalation to root via policy La normalización en la bóveda de Hashicorp, además, las vulnerabilidades también se han descubierto en la lógica de protección de bloqueo de Vault de Hashicorp, que está diseñada para acelerar los intentos de fuerza bruta, que podría permitir que un atacante infiera qué nombres de usuario son válidos al aprovechar un canal lateral a base de tiempo e incluso restablecer el contador de bloqueos al cambiar el caso de un nombre de usuario conocido (EG, administrador). Otras dos deficiencias identificadas por la compañía israelí permitieron debilitar la aplicación de bloqueo y el omitir la autenticación multifactor (MFA) cuando UserName_As_alias = true en la configuración de autenticación LDAP y la aplicación de la aplicación de MFA se aplica a nivel de entidad o grupo de identidad. En la cadena de ataque detallada por la compañía de seguridad cibernética, es posible aprovechar un problema de suplantación de entidad certificado (CVE-2025-6037) con CVE-2025-5999 y CVE-2025-6000 para romper la capa de autenticación, privilegios escalados y la ejecución de código. Se dice que CVE-2025-6037 y CVE-2025-6000 existieron durante más de ocho y nueve años, respectivamente. Armado con esta capacidad, un actor de amenaza podría armarse aún más el acceso para eliminar el archivo «Core/HSM/_Barrier-Unseal-Keys», convirtiendo efectivamente una función de seguridad en un vector de ransomware. Además, la función de grupo de control se puede socavar para enviar solicitudes HTTP y recibir respuestas sin ser auditadas, creando un canal de comunicación sigiloso. «Esta investigación muestra cómo la autenticación, la aplicación de políticas y la ejecución de complementos se pueden subvertir a través de errores lógicos, sin tocar la memoria, desencadenar bloqueos o romper la criptografía», dijo el investigador de seguridad Yarden Porat. En una línea similar, las vulnerabilidades descubiertas en Cybark Secrets Manager/Conjur permiten el derivación de la autenticación, la escalada de privilegios, la divulgación de información y la ejecución del código arbitrario, abriendo efectivamente la puerta a un escenario en el que un atacante puede elaborar una cadena de explotación para obtener el acceso no autenticado y la ejecución arbitraria arbitraria. La secuencia de ataque se desarrolla de la siguiente manera: la autenticación de IAM omitiendo al forjar las respuestas de getCalleridentity de aspecto válido se autentica como un abuso de recursos políticos, el punto final de la fábrica del host para crear un nuevo anfitrión que se hace pasar por una plantilla de política válida asignada un punto de pago de rubí (ERB) malicioso de la cadena de acceso a la cadena de acceso de la política «. a la ejecución completa del código remoto sin proporcionar una contraseña, token o credenciales de AWS «, señaló Porat. La divulgación se produce cuando Cisco Talos detalló las fallas de seguridad en el firmware ControlVault3 de Dell y sus API de Windows asociadas que los atacantes podrían haber abusado de los atacantes para evitar el inicio de sesión de Windows, extraer claves criptográficas, así como mantener el acceso incluso después de una nueva instalación del sistema operativo al implementar implantes maliciosos indetectables en la firma. Juntas, estas vulnerabilidades crean un potente método remoto de persistencia posterior a la compromiso para el acceso encubierto a entornos de alto valor. The identified vulnerabilities are as follows – CVE-2025-25050 (CVSS score: 8.8) – An out-of-bounds write vulnerability exists in the cv_upgrade_sensor_firmware functionality that could lead to an out-of-bounds write CVE-2025-25215 (CVSS score: 8.8) – An arbitrary free vulnerability exists in the cv_close functionality that could lead a un CVE-2025-24922 gratuito arbitrario (puntaje CVSS: 8.8): existe una vulnerabilidad de desbordamiento de búfer basada en la pila en la funcionalidad SecureBio_identify que podría conducir a la ejecución de código arbitraria CVE-2025-24311 (puntaje CVSS: 8.4)-Una información de la Fuidosa de Fuidio CVSEND_BLOCKDAT de CVSS que podría conducir a la Fuidad de la Fuidad de la Fuidosa. CVE-2025-24919 (puntaje CVSS: 8.1): existe una deserialización de la vulnerabilidad de entrada no confiable en la funcionalidad CVHDecapsulateCmd que podría conducir a la ejecución del código arbitrario, las vulnerabilidades han sido nombradas en codenado Revault. Más de 100 modelos de computadoras portátiles Dell que ejecutan Broadcom BCM5820X se ven afectados los chips de la serie. No hay evidencia de que las vulnerabilidades hayan sido explotadas en la naturaleza. La compañía de seguridad cibernética también señaló que un atacante local con acceso físico a la computadora portátil de un usuario podría abrirla y acceder a la placa de Security Security Hub (USH), lo que permite a un atacante explotar cualquiera de las cinco vulnerabilidades sin tener que iniciar sesión o poseer una contraseña de cifrado de disco completo. «El ataque de Revault se puede utilizar como una técnica de persistencia posterior a la compromiso que puede permanecer incluso en las reinstalaciones de Windows», dijo el investigador de Cisco Talos, Philippe Laulheret. «El ataque de Revault también se puede utilizar como un compromiso físico para evitar el inicio de sesión de Windows y/o para cualquier usuario local obtener privilegios de administración/sistema». Para mitigar el riesgo planteado por estos defectos, se recomienda a los usuarios que apliquen las soluciones proporcionadas por Dell; Deshabilite los servicios de ControlVault si los periféricos como los lectores de huellas digitales, los lectores de tarjetas inteligentes y los lectores de comunicación de campo cercano (NFC) no se están utilizando; y apague el inicio de sesión de la huella digital en situaciones de alto riesgo.