23/04/25
Vaultwarden — это хранилище секретов с открытым исходным кодом. Оно бесплатное, а его API совместим c менеджером паролей Bitwarden. Благодаря этому популярность Vaultwarden растет. По данным BI.ZONE TDR, в 2025 году решение использует каждая 10-я российская компания.
Как и любое хранилище секретов, Vaultwarden — критически важный сервис, требующий повышенного внимания команд безопасности. Его компрометация влечет множество рисков, в том числе раскрытие конфиденциальных данных компании.
Поэтому группа исследования уязвимостей BI.ZONE проанализировала Vaultwarden. В результате специалисты обнаружили уязвимости высокого уровня опасности, которым были присвоены идентификаторы CVE (CVE-2025-24364, CVE-2025-24365). Они затрагивают версии софта до 1.32.7 и исправлены в версии 1.33.0.
Уязвимость CVE-2025-24365 связана с механизмом проверки прав. К примеру, злоумышленник состоит в организации А, но у него ограниченные права. Он создает организацию Б, где по умолчанию становится администратором. Затем он отправляет запрос на эндпоинты, при этом указывая в пути идентификатор организации A, а в GET-параметре — идентификатор организации Б. В результате
злоумышленник получает права администратора в организации А.
CVE-2025-24364 относится к RCE-уязвимостям и позволяет реализовать удаленное выполнение кода. Если у атакующего есть доступ к панели администратора, он запускает произвольные команды на сервере. Таким образом он узнаёт секреты всех организаций внутри хранилища. В результате атакующий
может перехватить управление системой или ее отдельными компонентами, а также украсть конфиденциальные данные.
Павел Блинников, руководитель группы исследования уязвимостей, BI.ZONE:
Поскольку секреты от других внутренних сервисов хранятся в Vaultwarden, при его взломе атакующий узнает и их. А если продукт автоматически получает секреты с помощью API, злоумышленник попадет на хост с обширной сетевой связностью. Чтобы снизить поверхность атаки и предотвратить компрометацию хранилища секретов, мы рекомендуем отключать функциональность, которую вы не используете, а также обновить софт до последней версии.
Защититься от атак с эксплуатацией найденных CVE поможет BI.ZONE WAF. Созданные правила сервиса детектируют и блокируют попытки атак, не нарушая логику. Помимо этого, эксплуатация описанных уязвимостей детектируется BI.ZONE EDR.
