Одно обновление – и права админа у хакера. Уязвимость в Teleport позволяет взломать сервер без пароля

В системе удаленного доступа Teleport обнаружили и подробно разобрали уязвимость, которая позволяет обойти проверку подлинности и подключиться к защищенным узлам без настоящих учетных данных. Исследователь показал, как именно работает ошибка и как на практике можно получить доступ к серверу, если часть компонентов не обновлена.

Речь идет об уязвимости CVE-2025-49825 (оценка CVSS 9.8). Ее раскрыли инженеры безопасности Teleport еще в июне 2025 года, однако технических деталей эксплуатации до сих пор почти не публиковали. Новый разбор появился после практического тестирования инфраструктуры, где использовалась эта платформа централизованного доступа. Teleport применяют для безопасного подключения к серверам, базам данных, кластерам контейнеров и веб-приложениям. Решение поддерживает многофакторную проверку, единую точку входа и журналирование действий.

Архитектура Teleport строится вокруг двух основных компонентов. Прокси-сервер выдает доступ к ресурсам, а агент устанавливается на целевых узлах и связывает их с прокси. В уведомлении разработчиков об исправлении отдельно подчеркивалось, что для полной защиты нужно обновить и прокси, и агенты. Это означает, что даже при обновленном сервере уязвимый агент внутри сети сохраняет риск атаки.

Причина ошибки оказалась в логике проверки сертификатов SSH. Агент должен принимать только те пользовательские сертификаты, которые подписаны доверенным центром сертификации Teleport. В уязвимой версии допускался особый случай обработки вложенных сертификатов. Из-за этого можно было подменить ключ подписи внутри структуры сертификата и пройти проверку доверенного центра, не имея его закрытого ключа.

Атака строится на создании двух вложенных сертификатов (nested certificate). Внешний используется для подключения к агенту, внутренний подставляется как якобы ключ подписи. Проверка принимала такую цепочку как корректную. При этом криптографическая подпись оставалась валидной, так как проверялась по ключу атакующего, встроенному во внутренний сертификат. В результате агент считал пользователя успешно прошедшим проверку.

Исследователь показал, что открытый ключ центра сертификации пользователей Teleport можно получить без входа в систему через служебный веб-интерфейс. Этого достаточно, чтобы подготовить поддельные сертификаты. Далее злоумышленник формирует пару ключей, собирает вложенный и внешний сертификаты и подключается к уязвимому агенту.

На первом этапе защита по ролям блокировала вход, так как имя пользователя в сертификате не совпадало с реально существующим в системе. После подстановки корректного имени и ролей проверка была пройдена. Дополнительно потребовалось добавить в сертификат служебные атрибуты пользователя, которые Teleport использует при принятии решения о доступе. После этого автор эксперимента смог выполнить команды на целевом сервере с правами администратора.

Ошибка устранена в обновленных версиях Teleport. Для защиты необходимо установить исправленные выпуски как на прокси, так и на агентах. Использование смешанных версий оставляет возможность обхода аутентификации внутри инфраструктуры.