Peneliti keamanan dari F5 Labs telah menemukan sembilan kerentanan keamanan serius di HashiCorp Vault, sebuah alat populer yang digunakan perusahaan untuk mengelola kata sandi, kunci, dan informasi sensitif lainnya. Penemuan ini muncul setelah hampir dua tahun pemeriksaan kode yang cermat dan mempengaruhi baik versi Enterprise berbayar maupun edisi Open Source gratis dari Vault.
Kerentanan ini berkisar dari bypass autentikasi hingga eksekusi kode jarak jauh, dengan beberapa kelemahan yang telah ada dalam basis kode selama hingga sembilan tahun. Masalah-masalah ini dapat memungkinkan penyerang untuk mendapatkan akses administratif, mencuri rahasia, dan berpotensi mengambil kontrol penuh atas sistem Vault.
Sembilan CVE Kritis yang Ditemukan (Mei-Juni 2025)
• CVE-2025-6010 - [Awalnya disensor, kini diungkapkan sebagai enumerasi nama pengguna] • CVE-2025-6004 - Bypass Lockout melalui permutasi huruf besar-kecil dan normalisasi input • CVE-2025-6011 - Enumerasi Nama Pengguna Berbasis Timing • CVE-2025-6003 - Bypass Penegakan MFA melalui konfigurasi LDAP • CVE-2025-6013 - Generasi Multiple EntityID dalam LDAP • CVE-2025-6016 - Kelemahan Implementasi TOTP MFA • CVE-2025-6037 - Penyamaran Entitas Sertifikat (telah ada selama 8+ tahun) • CVE-2025-5999 - Eskalasi Hak Akses Root melalui normalisasi kebijakan • CVE-2025-6000 - Eksekusi Kode Jarak Jauh melalui penyalahgunaan katalog plugin (telah ada selama 9 tahun)
Kegagalan Autentikasi dan Otorisasi Menyebabkan Kompromi Sistem
Penemuan yang paling mengkhawatirkan melibatkan kontrol keamanan fundamental yang tidak bekerja sebagaimana mestinya. Peneliti menemukan cara untuk sepenuhnya melewati persyaratan login, menipu sistem agar memberikan hak istimewa yang lebih tinggi dari yang dimaksudkan, dan bahkan menyamar sebagai pengguna lain secara lengkap.
Satu serangan yang sangat cerdik melibatkan eksploitasi cara Vault menangani normalisasi teks - proses mengubah teks ke format standar. Sistem akan menormalisasi nama pengguna secara berbeda di berbagai bagian kode, menciptakan inkonsistensi yang dapat dieksploitasi penyerang. Misalnya, penyerang mungkin membuat variasi nama pengguna admin yang akan melewati pemeriksaan keamanan di beberapa area sambil dikenali sebagai valid di area lain.
Normalisasi teks: Proses mengubah teks ke format yang konsisten, seperti mengubah semua huruf menjadi huruf kecil atau menghapus karakter khusus.
Kategori Kerentanan dan Dampak
Bypass Autentikasi
- Kebocoran rahasia TOTP dan serangan brute force
- Bypass permutasi huruf dalam autentikasi userpass
- Ketidaksesuaian normalisasi input dalam LDAP
Bypass Otorisasi
- Manipulasi klaim grup OIDC
- Penghindaran penerapan MFA
- Eksploitasi normalisasi kebijakan
Penyamaran Identitas
- Pembuatan alias duplikat JWT
- Penyamaran entitas sertifikat
- Pembuatan multiple EntityID untuk identitas yang sama
Kerentanan Eksekusi Kode Jarak Jauh Mengekspos Risiko Kritis
Mungkin kelemahan yang paling berbahaya memungkinkan penyerang untuk mengeksekusi kode mereka sendiri di server Vault - pada dasarnya memberi mereka kontrol penuh atas sistem. Kerentanan ini ada selama sembilan tahun dan bekerja dengan menipu sistem plugin Vault agar memperlakukan data log audit sebagai kode yang dapat dieksekusi.
Rantai serangan ini canggih tetapi menghancurkan. Penyerang dengan hak istimewa administratif dapat memanipulasi log audit untuk menyertakan kode berbahaya, kemudian mengeksploitasi bug eskalasi hak istimewa terpisah untuk mendapatkan akses root. Eskalasi hak istimewa bekerja karena pemeriksaan keamanan mencari teks persis root tetapi proses pemilihan token yang sebenarnya membersihkan input, memungkinkan variasi seperti ROOT untuk lolos.
Respons Komunitas Menyoroti Tantangan Pengungkapan
Pengungkapan kerentanan ini telah memicu diskusi tentang pelaporan keamanan yang bertanggung jawab, terutama mengenai OpenBao, sebuah fork yang dipelihara komunitas dari Vault. Pengelola OpenBao menyatakan kekecewaan bahwa mereka tidak diberitahu tentang kerentanan sebelum pengungkapan publik, memaksa mereka untuk bergegas membuat patch keamanan.
Situasi ini menyoroti tantangan yang berkembang di dunia open source. Saat proyek bercabang dan berkembang secara terpisah, peneliti keamanan menghadapi keputusan sulit tentang proyek mana yang harus diberitahu selama periode pengungkapan yang bertanggung jawab. Tim OpenBao telah bekerja dengan cepat untuk menambal kode yang terpengaruh dan menyambut baik kolaborasi masa depan dengan peneliti keamanan.
Metodologi Penelitian dan Alat
Durasi: Hampir 2 tahun investigasi oleh F5 Labs
Pendekatan:
- Tinjauan kode manual dikombinasikan dengan analisis statis
- Fokus pada komponen autentikasi, identitas, dan otorisasi
- Pemeriksaan melampaui dokumentasi publik
Alat yang Digunakan:
- VS Code (editor teks)
- GoLand (lingkungan pengembangan)
- Semgrep (alat analisis kode statis)
Versi yang Terpengaruh: Baik edisi Vault Enterprise maupun Vault Open Source
Utang Teknis dan Kekhawatiran Kualitas Kode Muncul ke Permukaan
Diskusi komunitas mengungkapkan kekhawatiran yang lebih dalam tentang kualitas basis kode Vault. Beberapa pengembang yang telah bekerja dengan kode Vault menggambarkannya sebagai bermasalah, dengan satu orang mencatat bahwa pengujian properti mengungkapkan banyak bug dan kasus tepi yang menunjukkan praktik pengujian yang tidak memadai.
Basis kode adalah kekacauan total. Jumlah bug dan kasus tepi aneh yang telah saya temukan dengan pengujian properti quickcheck API mereka mengejutkan, dan membuat saya berpikir bahwa rangkaian tes mereka sangat tidak memadai.
Masalah kualitas ini bukan hanya kekhawatiran akademis - mereka secara langsung mempengaruhi keamanan. Banyak kerentanan yang ditemukan berasal dari penanganan string yang tidak konsisten dan logika normalisasi yang tersebar di seluruh basis kode, daripada dipusatkan dan divalidasi dengan benar.
Tim peneliti menggunakan kombinasi tinjauan kode manual dan alat analisis statis otomatis untuk menemukan masalah ini. Pendekatan mereka berfokus pada area yang sensitif terhadap keamanan seperti autentikasi dan otorisasi, menunjukkan bahwa pemeriksaan kode yang menyeluruh masih dapat mengungkap kelemahan signifikan yang mungkin terlewat oleh alat otomatis.
Semua kerentanan yang teridentifikasi telah diperbaiki dalam versi Vault saat ini, dan pengguna sangat dianjurkan untuk segera memperbarui. Penemuan ini berfungsi sebagai pengingat bahwa bahkan alat keamanan yang banyak digunakan memerlukan pengawasan berkelanjutan dan bahwa kompleksitas perangkat lunak modern dapat menyembunyikan kelemahan serius selama bertahun-tahun.