bir güvenlik açığı Açık kaynaklı bir şifre yöneticisi olan KeePassGitHub’da “vdohney” takma adıyla çalışan bir güvenlik araştırmacısı, .
Güvenlik araştırmacısı bir yayın yayınladı. GitHub’da kavram kanıtı Tşapka, bir tehdit aktörünün bir KeePass ana parolasını düz metin olarak bir bellek dökümünden nasıl kurtarabileceğini gösterir. İstismar, güvenlik açığıyla ilgisi olmayan bir tür güvenlik ihlali yoluyla potansiyel bir kurbanın cihazına erişim gerektirir, ancak kod yürütülmesini gerektirmez.
Ulusal Standartlar ve Teknoloji Enstitüsü’nün takip ettiği güvenlik açığı için şu anda mevcut bir yama yok. CVE-2023-32784. KeePass’ın baş yazarı Dominik Reichl e-posta yoluyla, “Yaklaşık 2 hafta içinde piyasaya sürülecek olan bir sonraki KeePass sürümü için sorun zaten düzeltildi,” dedi.
KeePass, kimlik ve erişim yöneticisi alanında niş bir paya sahiptir, ancak ilk olarak 2003 yılında piyasaya sürülmüştür. sertifikalı ve önerilen Avrupa’da çok sayıda BT ve siber güvenlik yetkilisi tarafından. “KeePaas’a göre, İsviçre federal yönetiminin tüm bilgisayarlarına varsayılan olarak yüklenir.”
İstismar yalnızca ana parola KeePass’ta parola girişi için doğrudan metin kutusuna yazıldığında çalışır.
“Bu güvenlik açığıyla ilgili ilginç olan şey, parola veritabanlarının kendisinin bir istismarı değil, parolanın bellekte nasıl işlendiği, böylece saldırganın KeePass işlemi çalışıyorsa tüm açık veritabanlarının ana parolalarını kurtarabilmesidir.” John Dwyer, IBM Security X-Force araştırma başkanıe-posta yoluyla söyledi.
Dwyer, sorun giderme veya yazılım çökmeleri nedeniyle bir KeePass işleminin bellek dökümünün, KeePass işlemiyle doğrudan etkileşime girmeden ana parolayı bir tehdit aktörüne ifşa edebileceğini söyledi.
Kolaylık potansiyel bir maliyetle gelir
Kullanıcıların uygulamalar ve hizmetler için kimlik bilgilerini bulut tabanlı bir kasada veya yerel veritabanında depolamasına yardımcı olan parola yöneticileri, tehlikeye atıldığında kritik olabilecek yoğun bir risk oluşturur.
“Parola yöneticileri, eksiksiz bir kimlik devralma için tek uzlaşma noktası haline geldi ve saldırganlar bunu biliyor,” John Bambenek, Netenrich’teki başlıca tehdit avcısı, e-posta yoluyla söyledi. “Çoğu kişi kişisel ve ticari oturum açma bilgilerini tek bir yöneticide bir araya getirdiğine göre, hepsini çalabilecekken neden tek bir hesabı çalasınız?”
A LastPass’ta aylarca süren siber saldırı 2022’de ve bu yılın ilk aylarında devam eden serpinti, bu potansiyel riskin çok daha büyük ölçekte örneğini oluşturdu.
LastPass’tan farklı olarak KeePass, bir kullanıcının parolalarını bir ana parola ile şifrelenebilen yerel bir dosyada saklar. Dwyer’a göre güvenlik açığı, yönetilmeyen parola yöneticileriyle ilişkili bilinmeyen risklerin altını çiziyor.
Dwyer, “KeePass, öncelikle kişisel kullanıma yönelik açık kaynaklı bir parola yöneticisi olsa da, son kullanıcıların ve yöneticilerin kurumsal kimlik bilgilerini güvenlik kapsamı dışında depolamak için yerel parola yöneticilerini kullandıklarını yıllar içinde gözlemledim” dedi.
Bir yama kullanıma sunulana kadar kullanıcılar, KeePass ile ilişkili işlem dökümü dosyaları için sistemlerini taramalı ve bunları kaldırmalıdır.
KeePass’taki güvenlik açığından aktif olarak yararlanıldığı bildirilmemiştir, ancak bir tehdit aktörünün bir sistemi tehlikeye atabilmesindeki göreceli kolaylık, aktif açıkları gerçek bir olasılık haline getirir.
Bugcrowd’un kurucusu ve CTO’su Casey Ellis, e-posta yoluyla, “Bu güvenlik açığı, yürütmek için kurbanın makinesine erişim gerektirse de, fidye yazılımlarının, kötü amaçlı reklamcılığın ve ilk erişim aracılarının çoğalması, bunun başarılmasının özellikle zor bir şey olmadığını gösterdi” dedi. .
Ellis, “Saldırganların güvenliği ihlal edilmiş makinelerde KeePass aradığını ve KeePass kullanıcı tabanı sistemlerine yama uygulamadan önce bu istismar penceresinden yararlandığını görmeseydik çok şaşırırdım” dedi.