Компания HashiCorp раскрыла информацию о критической уязвимости в своем программном обеспечении для управления секретами Vault, которая позволяет злоумышленникам вызывать отказ в обслуживании (Denial-of-Service, DoS) путем исчерпания ресурсов серверов. Уязвимость, получившая идентификаторы CVE-2025-6203 и HCSEC-2025-24, была публично объявлена 28 августа 2025 года.
Детали уязвимости
Проблема затрагивает как Community, так и Enterprise редакции Vault в версиях с 1.15.0 по 1.20.2, а также некоторые более ранние патч-версии, включая 1.19.8, 1.18.13 и 1.16.24. Угроза устраняется обновлением до исправленных выпусков: Vault Community Edition 1.20.3 и Vault Enterprise 1.20.3, 1.19.9, 1.18.14 и 1.16.25.
Суть уязвимости заключается в работе подсистемы аудита Vault, которая регистрирует каждый запрос до завершения операций. Злоумышленники могут отправлять специально созданные полезные нагрузки (payloads), соответствующие лимиту размера запроса в 32 МиБ, но содержащие сложные или глубоко вложенные структуры JSON. Обработка таких структур приводит к чрезмерному потреблению памяти и ресурсов центрального процессора.
Интенсивное использование ресурсов может вызвать таймаут процесса аудита, что приводит к остановке главного потока сервера Vault и последующему его зависанию или аварийному завершению работы. Важно отметить, что для эксплуатации этой уязвимости злоумышленникам не требуются действительные учетные данные или токены доступа, поскольку атака нацелена на механизм аудита до завершения аутентификации.
В ответ на обнаруженную проблему HashiCorp внедрила новые параметры конфигурации слушателя (listener) для более строгого ограничения обработки JSON-полезных нагрузок. Операторы теперь могут применять лимиты на максимальную глубину JSON (max_json_depth), максимальную длину строкового значения (max_json_string_value_length), максимальное количество записей в объекте (max_json_object_entry_count) и максимальное количество элементов в массиве (max_json_array_element_count). Эти настройки дополняют существующий параметр max_request_size и могут быть применены для каждого TCP-слушателя в конфигурации Vault.
Организациям, использующим уязвимые версии, рекомендуется немедленно оценить свою exposure и запланировать обновление до защищенных выпусков. Администраторам также следует пересмотреть конфигурации слушателей Vault и активировать новые ограничения для JSON-полезных нагрузок, чтобы снизить риски подобных атак в будущем. Подробные инструкции по обновлению и настройке доступны в документации HashiCorp "Upgrading Vault".
HashiCorp Vault является ключевым компонентом инфраструктур многих компаний, обеспечивая безопасное хранение и управление секретами, такими как токены, пароли и сертификаты. Возможность вывода его из строя представляет значительную операционную и репутационную угрозу, поскольку нарушает работу критически важных служб, зависящих от доступа к секретам. Своевременное применение исправлений и настройка дополнительных ограничений являются необходимыми мерами для обеспечения непрерывности бизнес-процессов и безопасности данных.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-6203
- https://discuss.hashicorp.com/t/hcsec-2025-24-vault-denial-of-service-though-complex-json-payloads/76393
