Kritische Sicherheitslücke in Passwordstate Enterprise Password Manager gemeldet

22. Monat der Wintersonnenwende 2022Ravie LakshmananPasswortverwaltung

Mehrere Sicherheitslücken mit hohem Schweregrad wurden in veröffentlicht Passwortzustand Passwortverwaltungslösung, die von einem nicht authentifizierten entfernten Angreifer ausgenutzt werden könnte, um an die Klartextpasswörter eines Benutzers zu gelangen.

„Eine erfolgreiche Auswertung ermöglicht es einem nicht authentifizierten Angreifer, Passwörter aus einer Instanz herauszufiltern, sämtliche gespeicherten Passwörter in welcher elektronischer Karteikasten zu mit einer Überschrift versehen oder seine Berechtigungen intrinsisch welcher Softwareanwendungen zu steigern“, sagte dies Schweizer Cybersicherheitsunternehmen modzero AG in einem ebendiese Woche veröffentlichten Botschaft.

“Manche welcher einzelnen Schwachstellen können verkettet werden, um eine Shell gen dem Passwordstate-Hostsystem zu erhalten und sämtliche gespeicherten Passwörter im Klartext auszugeben, einsetzend mit nichts anderem qua einem gültigen Benutzernamen.”

Passwordstate, entwickelt von einem australischen Unternehmen namens Click Studios, hat hoch 29.000 Kunden und wird von mehr qua 370.000 IT-Experten verwendet.

Einer welcher Fehler betrifft nachrangig die Passwordstate-Version 9.5.8.4 zum Besten von den Chrome-Webbrowser. Die neueste Version des Browser-Add-Ons ist 9.6.1.2, die am 7. September 2022 veröffentlicht wurde.

Die verkettete Liste welcher von welcher modzero AG identifizierten Schwachstellen ist unten –

• CVE-2022-3875 (CVSS-Punktzahl: 9,1) – Eine Authentifizierungsumgehung zum Besten von die API von Passwordstate
• CVE-2022-3876 (CVSS-Punktzahl: 6,5) – Eine Umgehungsstraße von Zugriffskontrollen durch benutzergesteuerte Schlüssel
• CVE-2022-3877 (CVSS-Ordnung: 5,7) – Eine gespeicherte Cross-Site-Scripting (XSS)-Schwachstelle im URL-Feld jedes Passworteintrags
• Kein CVE (CVSS-Ordnung: 6,0) – Ein unzureichender Zusammenhang zum Sichern von Passwörtern durch Verwendung serverseitiger symmetrischer Verschlüsselung
• Kein CVE (CVSS-Ordnung: 5,3) – Verwendung von hartcodierten Anmeldeinformationen, um geprüfte Ereignisse wie Kennwortanforderungen und Benutzerkontoänderungen hoch die API aufzulisten
• Kein CVE (CVSS-Ordnung: 4,3) – Verwendung unzureichend geschützter Anmeldeinformationen zum Besten von Passwortlisten

Dasjenige Ausnutzen welcher Schwachstellen könnte es einem Angreifer mit Kenntnis eines gültigen Benutzernamens geben, gespeicherte Passwörter im Klartext zu extrahieren, die Passwörter in welcher elektronischer Karteikasten zu mit einer Überschrift versehen und sogar Berechtigungen zu steigern, um eine Remotecodeausführung zu gelingen.

Darüber hinaus könnte ein in welcher Chrome-Browsererweiterung identifizierter unsachgemäßer Autorisierungsfluss (CVSS-Zahl: 3,7) dazu gebraucht werden, sämtliche Passwörter an eine von Akteuren kontrollierte Schulfach zu senden.

In einer von welcher modzero AG demonstrierten Angriffskette könnte ein Angreifer ein API-Token zum Besten von ein Administratorkonto verfälschen und den XSS-Fehler ausnutzen, um verknüpfen böswilligen Passworteintrag hinzuzufügen, um eine Reverse-Shell zu erhalten und die in welcher Instanz gehosteten Passwörter abzugreifen.

Benutzern wird empfohlen, gen Passwordstate 9.6 – Build 9653, veröffentlicht am 7. November 2022, oder spätere Versionen zu auf den neuesten Stand bringen, um die potenziellen Bedrohungen zu mindern.

Passwordstate wurde im vierter Monat des Jahres 2021 Todesopfer eines Angriffs gen die logistische Kette, welcher es den Angreifern ermöglichte, den Aktualisierungsmechanismus des Dienstes zu nutzen, um eine Hintertür gen den Computern welcher Kunden abzulegen.