Descoberta e escopo
Pesquisadores relataram uma falha no Vault Terraform Provider rastreada como CVE-2025-13357. O problema está relacionado ao método de autenticação LDAP quando o provider aplica um padrão inseguro: o parâmetro deny_null_bind foi definido como false por padrão.
O que mudou agora
Segundo o advisory reproduzido pela fonte, o comportamento afetou versões do Vault Terraform Provider entre v4.2.0 e v5.4.0. As releases corretivas foram disponibilizadas: o provider foi atualizado para v5.5.0, que passa a definir deny_null_bind como true por padrão. Além disso, foram disponibilizadas versões do Vault que mitigam o risco (Vault Community Edition 1.21.1 e Vault Enterprise 1.21.1, 1.20.6, 1.19.12, 1.16.28).
Abordagem técnica / Vetor de exploração
O vetor descrito é uma combinação de defaults inseguros no provider e uma configuração permissiva no servidor LDAP subjacente, que aceitaria binds nulos (empty password strings). Com o parâmetro deny_null_bind em false, o fluxo de autenticação do provider permitia que conexões sem credenciais válidas fossem aceitas pelo backend LDAP em ambientes onde esse servidor não rejeitava binds nulos.
Na prática, um atacante que conseguisse interação com o caminho de autenticação LDAP poderia explorar essa configuração para obter autenticação ao Vault sem apresentar credenciais legítimas, abrindo acesso a segredos, chaves de criptografia e outros dados sensíveis armazenados.
Impacto e alcance
- Identificador: CVE-2025-13357.
- Produtos afetados conforme a fonte: Vault Terraform Provider (v4.2.0–v5.4.0).
- Risco principal: authentication bypass, com potencial acesso a segredos e chaves.
A matéria deixa claro que o impacto depende de dois fatores: (1) uso do método LDAP para autenticação no Vault; e (2) presença de um servidor LDAP que aceite binds nulos. Em ambientes onde o LDAP rejeita binds vazios, o risco prático é reduzido. As fontes não quantificam o número de instalações afetadas.
Mitigações e recomendações
- Atualizar o Vault Terraform Provider para v5.5.0.
- Atualizar Vault para uma das versões listadas: Community Edition 1.21.1 ou Enterprise 1.21.1, 1.20.6, 1.19.12, 1.16.28.
- Verificar explicitamente a configuração do método LDAP e garantir que deny_null_bind esteja definido como true nas configurações, caso não seja possível atualizar imediatamente o provider.
- Auditar servidores LDAP para confirmar que não aceitam binds nulos (empty password strings).
Limites das informações
As fontes indicam que a falha foi reportada por um pesquisador externo e que HashiCorp publicou correções e planeja remover esse parâmetro em versões futuras. As matérias não trazem cifras sobre quantos ambientes foram efetivamente comprometidos nem descrevem incidentes confirmados decorrentes da exploração em campo.
Recomendações operacionais rápidas
Equipes de segurança e infraestrutura devem priorizar a atualização do provider e do Vault, aplicar a alteração de configuração no LDAP auth method onde necessário e monitorar logs de autenticação do Vault em busca de binds anômalos ou sucessos sem credenciais claras.
O que observar a seguir
Monitorar comunicados oficiais da HashiCorp para detalhes sobre remoção do parâmetro e advisories adicionais; verificar também canais de resposta a incidentes caso organizações identifiquem acessos não autorizados após a janela de exposição.