Дослідники виявили критичні вразливості в продуктах CyberArk і HashiCorp, які дозволяють хакерам отримувати доступ до корпоративних секретів без використання облікових даних. Понад десяток уразливостей, виявлених у їхніх сховищах (vaults), дають змогу зловмисникам обходити механізми автентифікації та отримувати контроль над конфіденційними даними, такими як ключі шифрування, паролі та сертифікати.

Ці вразливості класифіковано як віддалені, що означає можливість їх експлуатації через мережу без фізичного доступу до систем. Атаки можуть призвести до компрометації цілих корпоративних мереж, що становить серйозну загрозу для організацій, які використовують ці рішення для управління доступом. Компанії CyberArk і HashiCorp випустили оновлення для усунення проблем, і користувачам настійно рекомендують негайно їх встановити.

Експерти також радять перевірити журнали доступу на предмет підозрілої активності та впровадити додаткові заходи безпеки, такі як сегментація мережі та моніторинг. Цей інцидент підкреслює важливість регулярного оновлення програмного забезпечення та своєчасного реагування на виявлені вразливості. Організації, які ігнорують ці рекомендації, ризикують стати жертвами масштабних кібератак, що можуть призвести до фінансових втрат і репутаційних збитків.