Uma falha crítica de segurança foi descoberta no Vault Terraform Provider da HashiCorp que pode permitir que invasores ignorem a autenticação e acessem o Vault sem credenciais válidas.
A vulnerabilidade, rastreada como CVE-2025-13357, afeta organizações que usam autenticação LDAP com Vault. O problema de segurança decorre de uma configuração padrão incorreta no provedor Terraform do Vault.
Especificamente, o provedor definiu o parâmetro deny_null_bind como false por padrão para o método de autenticação LDAP.
Vulnerabilidade do cofre HashiCorp
Essa configuração incorreta criou uma lacuna de segurança perigosa porque o servidor LDAP subjacente permitia conexões não autenticadas.
Quando explorada, esta vulnerabilidade permite que os agentes da ameaça se autentiquem no Vault sem fornecer credenciais legítimas.
Esse desvio de autenticação representa riscos significativos para as organizações que armazenam segredos confidenciais, chaves de criptografia e outros dados críticos no Vault.
CVE IDAProdutos afetadosVersões afetadasImpactCVE-2025-13357Vault Terraform Providerv4.2.0 a v5.4.0Authentication Bypass
A HashiCorp lançou correções para resolver esta vulnerabilidade. As organizações devem tomar as seguintes ações:
Atualização para o Vault Terraform Provider v5.5.0, que define corretamente o parâmetro deny_null_bind como true por padrão.
Além disso, atualize para o Vault Community Edition 1.21.1 ou Vault Enterprise versões 1.21.1, 1.20.6, 1.19.12 ou 1.16.28.
Certifique-se de que o parâmetro deny_null_bind esteja explicitamente definido como true nas configurações do método de autenticação LDAP.
As organizações que usam versões mais antigas do provedor devem definir explicitamente o parâmetro em seus arquivos Terraform e aplicar as alterações imediatamente.
As versões corrigidas do Vault não aceitam mais sequências de senha vazias, evitando efetivamente conexões LDAP não autenticadas por meio do método de autenticação.
A HashiCorp anunciou que este parâmetro desatualizado será removido em versões futuras. Esta vulnerabilidade foi identificada por um pesquisador terceirizado que a divulgou de forma responsável à HashiCorp.
As organizações que usam o Vault com autenticação LDAP devem priorizar a aplicação dessas atualizações de segurança para proteger sua infraestrutura contra exploração potencial.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Entre em contato conosco para apresentar suas histórias.
