HashiCorp Vaultの重大な脆弱性が明らかに
HashiCorpは、同社のシークレット管理ツールであるVaultおよびVault Enterpriseに、認証バイパスとサービス拒否(DoS)攻撃を可能にする2つの重大な脆弱性を公表しました。これらの脆弱性は、インフラストストラクチャのセキュリティに深刻な影響を及ぼす可能性があります。
JSONペイロード処理の不備によるDoS脆弱性 (CVE-2025-12044)
最初の脆弱性は、Bulletin ID HCSEC-2025-31として特定され、CVE-2025-12044として追跡されています。これは、VaultがJSONペイロードを処理する方法における回帰に起因します。HashiCorpが2025年10月23日に公開した情報によると、認証されていない攻撃者が特別に細工されたJSONリクエストを送信することで、サービス拒否状態を引き起こすことが可能です。
この脆弱性は、レート制限メカニズムがJSONペイロード処理の後に適用されるため、攻撃者が繰り返しリクエストを送信することでCPUやメモリリソースを枯渇させ、サービス停止やシステムクラッシュを引き起こす可能性があるというものです。影響を受けるバージョンは以下の通りです。
- Vault Community Edition: 1.20.3から1.20.4
- Vault Enterprise: 1.16.25から1.20.4
AWS認証メソッドにおける認証バイパス脆弱性 (CVE-2025-11621)
2つ目の脆弱性は、Bulletin ID HCSEC-2025-30の下でCVE-2025-11621として追跡されており、より深刻なリスクをもたらします。この脆弱性は、VaultのAWS認証メソッドにおける認証バイパスを可能にします。
攻撃者は、異なるAWSアカウント間で同一のIAMロール名(またはワイルドカード設定により一致するロール名)を利用することで、正当な資格情報なしに正規ユーザーとして認証できる可能性があります。これは、VaultのAWS認証メソッドにおけるキャッシュ検証の不備に起因し、STSロールの検証時にシステムが関連するアカウントIDを検証しないために発生します。この監視の欠如は、攻撃者が認証トークンを偽造し、機密性の高いシークレットやインフラストラクチャの資格情報への不正アクセスを可能にする重大なセキュリティギャップを生み出します。
関連する問題として、VaultのEC2認証メソッドでも同様の脆弱性が存在し、キャッシュルックアップがAMI IDのみを検証し、アカウントIDを検証しないため、クロスアカウントでの特権昇格が可能になります。影響を受けるバージョンは以下の通りです。
- Vault Community Edition: 0.6.0から1.20.4
- 対応するVault Enterpriseバージョン
推奨される対策と影響
HashiCorpは、影響を受けるすべての顧客に対し、パッチ適用済みのバージョンへの即時アップグレードを強く推奨しています。推奨されるバージョンは以下の通りです。
- Vault Community Edition: 1.21.0
- Vault Enterprise: 1.21.0, 1.20.5, 1.19.11, 1.16.27
アップグレードがすぐにできない組織は、AWS認証メソッドの設定を見直し、ロール名の衝突がないか確認し、bound_principal_iam設定からワイルドカードを削除するべきです。
これらの脆弱性は、Adfinis AGのToni Tauro氏とPavlos Karakalidis氏によって発見されました。Vaultが企業全体で暗号化キー、データベース資格情報、APIトークンを管理する上で極めて重要な役割を担っていることを考えると、これらの脆弱性は組織にとって非常に大きなリスクをもたらします。特にAWS認証メソッドをクロスアカウントアクセスパターンで利用している組織は、パッチ適用作業を最優先で行う必要があります。DoSと認証バイパスの組み合わせは、最新のVaultデプロイメントを維持し、インフラストラクチャセキュリティのための多層防御戦略を実装することの重要性を示しています。