Con una sola actualización, un hacker puede conseguir permisos de administrador: vulnerabilidad en Teleport permite acceder a un servidor sin contraseña
Se publican detalles técnicos sobre la explotación de la vulnerabilidad CVE-2025-49825 en la plataforma Teleport.
En el sistema de acceso remoto Teleport se detectó y se examinó en detalle una vulnerabilidad que permite eludir la autenticación y conectarse a nodos protegidos sin credenciales reales. Un investigador mostró cómo funciona exactamente el error y cómo en la práctica se puede obtener acceso al servidor si parte de los componentes no está actualizada. Analizó
Se trata de la vulnerabilidad CVE-2025-49825 (puntuación CVSS 9.8). La divulgaron ingenieros de seguridad de Teleport ya en junio de 2025, sin embargo casi no se habían publicado detalles técnicos de explotación hasta ahora. El nuevo análisis apareció tras pruebas prácticas en una infraestructura que utilizaba esta plataforma de acceso centralizado. Teleport se emplea para conexiones seguras a servidores, bases de datos, clústeres de contenedores y aplicaciones web. La solución admite autenticación multifactor, un punto único de entrada y registro de actividades.
La arquitectura de Teleport se basa en dos componentes principales. El servidor proxy otorga acceso a los recursos, y el agente se instala en los nodos objetivo y los enlaza con el proxy. En la notificación de los desarrolladores sobre la corrección se subrayó que para una protección completa es necesario actualizar tanto el proxy como los agentes. Esto significa que, incluso con el servidor actualizado, un agente vulnerable dentro de la red mantiene el riesgo de ataque.
La causa del error estuvo en la lógica de verificación de certificados SSH. El agente debe aceptar únicamente certificados de usuario firmados por la autoridad de certificación de Teleport de confianza. En la versión vulnerable se permitía un caso especial en el tratamiento de certificados anidados. Por ello era posible reemplazar la clave de firma dentro de la estructura del certificado y superar la verificación de la autoridad de confianza sin poseer su clave privada.
El ataque consiste en crear dos certificados anidados. El externo se usa para la conexión al agente, y el interno se inserta como supuesta clave de firma. La verificación aceptaba esa cadena como correcta. Al mismo tiempo la firma criptográfica seguía siendo válida, ya que se comprobaba con la clave del atacante incorporada en el certificado interno. Como resultado, el agente consideraba que el usuario había pasado la verificación.
El investigador mostró que la clave pública de la autoridad de certificación de usuarios de Teleport se puede obtener sin iniciar sesión a través de la interfaz web de servicio. Esto es suficiente para preparar certificados falsos. A continuación el atacante genera un par de claves, crea los certificados interno y externo y se conecta al agente vulnerable.
En la primera fase, la protección basada en roles bloqueó el acceso, porque el nombre de usuario en el certificado no coincidía con uno realmente existente en el sistema. Tras sustituir el nombre y los roles correctos, la verificación se superó. Además fue necesario añadir al certificado los atributos de servicio del usuario que Teleport utiliza al decidir sobre el acceso. Después de ello, el autor del experimento pudo ejecutar comandos en el servidor objetivo con privilegios de administrador.
El error se corrigió en las versiones actualizadas de Teleport. Para protegerse es necesario instalar las versiones corregidas tanto en el proxy como en los agentes. El uso de versiones mixtas deja la posibilidad de elusión de la autenticación dentro de la infraestructura.