Descubrimiento en Black Hat USA 2025
Durante la conferencia Black Hat USA 2025 en Las Vegas, investigadores revelaron 14 vulnerabilidades críticas y de día cero en dos de las plataformas de gestión de secretos más utilizadas en el mundo empresarial: HashiCorp Vault (9 fallos) y CyberArk Conjur (5 fallos).
Estas herramientas, también conocidas como secret managers, son esenciales para resguardar credenciales, certificados, claves de cifrado y tokens API. Un compromiso de este tipo de sistemas puede significar que un atacante acceda o manipule absolutamente todas las credenciales de una organización.
Impacto de las vulnerabilidades
Los fallos descubiertos permiten a un atacante lograr:
- Ejecución remota de código (RCE) sin autenticación.
- Bypass de autenticación y MFA.
- Escalada de privilegios hasta nivel root.
- Compromiso total de los secretos almacenados.
El investigador Shahar Tal, CEO de Cyata, advirtió:
“Un ataque exitoso contra un vault obligaría a reemplazar cada secreto en la organización. Es como tomar de rehén a todo el sistema de credenciales”.
Detalles técnicos destacados
En CyberArk Conjur
- Explotación de la autenticación con AWS mediante inyección de un carácter especial para redirigir la validación hacia un servidor controlado por el atacante.
- Posibilidad de autenticarse como una política, otorgando privilegios superiores.
- Uso de la funcionalidad Policy Factory con código Embedded Ruby (ERB) para ejecutar instrucciones maliciosas.
Gravedad: Vulnerabilidades con puntajes CVSS de hasta 9.1 (crítico).
En HashiCorp Vault
- Técnicas para enumerar usuarios válidos y evadir bloqueos por fuerza bruta.
- Bypass de multifactor y autenticación basada en certificados.
- Escalada de administrador a root.
- Ejecución remota de código con puntaje CVSS 9.1.
HashiCorp y CyberArk ya han publicado parches y recomiendan actualizar de inmediato.
Lecciones para las organizaciones
Este incidente demuestra que incluso los sistemas más críticos de seguridad requieren planificación para fallos catastróficos (break-the-glass scenarios).
Entre las recomendaciones:
- Implementar planes de contingencia ante compromisos de vaults.
- Contar con integraciones de IAM que permitan alta tolerancia a fallos.
- Adoptar un modelo de seguridad que combine protección de secretos con monitoreo de comportamiento y contexto de identidad.
Conclusión
Los gestores de secretos seguirán siendo esenciales en la ciberseguridad corporativa, pero las organizaciones deben asumir que la seguridad absoluta no existe. Prepararse para un posible compromiso y migrar hacia modelos más dinámicos de identidad será clave para la resiliencia a largo plazo.
