Vulnerabilidades en CyberArk Secrets Manager, Self-Hosted y Conjur OSS
El pasado 15 de julio del 2025, la empresa CyberArk publicó en su portal oficial la existencia de tres vulnerabilidades criticas que afectan a sus productos: CyberArk Secrets Manager, Self-Hosted y CyberArk Conjur OSS. Estas vulnerabilidades podrían permitir la suplantación de identidad de usuarios legitimos y la ejecución remota de código, representando un riesgo significativo para las organizaciones que utilizan estas soluciones.
CyberArk Secrets Manager, Self-Hosted es una solución diseñada que permite a las organizaciones proteger los datos confidenciales de las aplicaciones nativas en la nube, en contenedores, los procesos de CI/CD y las herramientas de DevOps. Este producto garantiza la seguridad de todas las credenciales y datos utilizados por usuarios no humanos, elimina la necesidad de credenciales fijas en las aplicaciones y permite la rotación automática de credenciales conforme a políticas definidas, fortaleciendo así la gestión y protección de accesos en entornos modernos. Por su parte, CyberArk Conjur OSS gestiona los datos confidenciales que las aplicaciones y otras identidades no humanas necesitan para acceder a infraestructura crítica, datos y otros recursos importantes. Para proteger este acceso, Conjur utiliza un control de acceso basado en roles (RBAC) muy detallado, junto con otras prácticas y técnicas de seguridad avanzadas.
A continuación, se detallan las vulnerabilidades que afectan estos productos.
CVE-2025-49827
Con una puntuacion CVSS 9.1, clasificada como crítica, la vulnerabilidad identificada como CVE-2025-49827 esta relacionada a una falla en el autenticador IAM. Un atacante que sea capaz de manipular los encabezados firmados por AWS puede explotar una expresión regular mal formada para redirigir la solicitud de validación de autenticación que originalmente debería enviarse a AWS desde Secrets Manager, Self-Hosted hacia un servidor malicioso bajo su control. Esta redirección puede dar lugar a una evasión del autenticador IAM de Secrets Manager, Self-Hosted, otorgando al atacante los mismos permisos que el cliente cuya solicitud fue manipulada.
CVE-2025-49831
La vulnerabilidad CVE-2025-49831 también tiene una severidad crítica, con un puntaje CVSS de 9.1. Está vinculada con una falla en el autenticador IAM, pero a diferencia de otras, esta puede ser explotada si hay dispositivos de red mal configurados. Un atacante podría aprovechar una mala configuración en el enrutamiento del tráfico hacia AWS para interceptar y redirigir las solicitudes de autenticación a un servidor que controle. Según CyberArk, son muy pocas las implementaciones donde esta vulnerabilidad podría ser explotada activamente pero no hay que bajar la guardia.
CVE-2025-49828
Con severidad alta (CVSS 8.6), la vulnerabilidad identificada como CVE-2025-49828 aborda una falla de ejecución remota de código en la cual un atacante autenticado que tenga la capacidad de inyectar secrets (datos confidenciales que gestiona Secrets Manager) o templates (plantillas usadas para generar dinamicamente configuraciones) en la base de datos de Secrets Manager, Self-Hosted podría aprovechar un endpoint expuesto de la API para ejecutar código malicioso, en este caso de tipo Ruby Embedded (ERB), dentro del proceso de Secrets Manager.
Versiones Afectadas
|
Versiones afectadas |
Versiones parcheadas |
|
Conjur OSS versiones 1.19.5 a 1.22.0 |
Conjur OSS version 1.22.1 |
|
Secrets Manager, Self-Hosted versiones 13.1 a 13.5 y 13.6 |
Secrets Manager, Self-Hosted versiones 13.5.1 y 13.6.1 |
Recomendaciones
- Si cuenta con alguna versión Microsoft Exchange Server de las siguientes:
- Actualice Conjur OSS versiones 1.19.5 a 1.22.0 a la versión Conjur OSS 1.22.1
- Actualice Secrets Manager, Self-Hosted versiones 13.1 a 13.5 y 13.6 a las versiones 13.5.1 y 13.6.1.
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para detectar ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- CyberArk. (2025, Julio 15). Addressing recent vulnerabilities and our commitment to security. Recuperado el 11 de Agosto de 2025, en: https://www.cyberark.com/resources/all-blog-posts/addressing-recent-vulnerabilities-and-our-commitment-to-security
- Laskhmanan, R. (2025, Agosto 9). CyberArk and HashiCorp Flaws Enable Remote Vault Takeover Without Credentials. The Hacker News. Recuperado el 11 de Agosto de 2025, en: https://thehackernews.com/2025/08/cyberark-and-hashicorp-flaws-enable.html
- Kovacs, E. (2025, Agosto 6). Enterprise Secrets Exposed by CyberArk Conjur Vulnerabilities. Security Week. Recuperado el 11 de Agosto de 2025, en: https://www.securityweek.com/enterprise-secrets-exposed-by-cyberark-conjur-vulnerabilities/
- Kundaliya, D. (2025, Agosto 11). Vault Fault bugs in CyberArk and HashiCorp could let hackers take over secret stores without credentials. Computing. Recuperado el 12 de Agosto de 2025, en: https://www.computing.co.uk/news/2025/security/vault-fault-bugs-in-cyberark-and-hashicorp-could-let-hackers-take-over-corporate-secret-stores-without-credentials-copy?itc=refresh
