PasswordState Enterprise Parola Yöneticisi’nin arkasındaki şirket olan Click Studios, müşterileri mümkün olan en kısa sürede yüksek aralıklı bir kimlik doğrulama baypas güvenlik açığı yamaları konusunda uyardı.
PasswordState, kuruluşların merkezi bir web arayüzü aracılığıyla şifrelere, API anahtarlarına, sertifikalara ve diğer çeşitli kimlik türlerini depolamasını, düzenlemesini ve kontrol etmesini sağlayan güvenli bir şifre kasası olarak çalışır.
Click Studios, şifre statü yöneticisinin, devlet kurumları, finans kurumları, küresel işletmeler ve çeşitli endüstri sektörlerinde Fortune 500 şirketleri de dahil olmak üzere dünya çapında 29.000 şirkette çalışan 370.000’den fazla BT uzmanı tarafından kullanıldığını söylüyor.
Şirketin resmi forumu hakkındaki yeni bir duyuruda Click Studios, kullanıcıları bugün iki güvenlik güncellemesiyle daha önce piyasaya sürülen PasswordState 9.9 Build 9972’ye “mümkün olan en kısa sürede” yükseltmeye çağırdı.
Bunlardan biri, saldırganların kimlik doğrulamasını atlamak ve PasswordState yönetim bölümüne erişim elde etmek için Core PasssorState ürünlerinin acil erişim sayfasına karşı özenle hazırlanmış bir URL kullanmasına izin veren yüksek şiddetli bir güvenlik kusuru (CVE kimliği olmadan).
Şirket henüz bu güvenlik açığı hakkında ek ayrıntıları kamuya açık bir şekilde paylaşmamış olsa da, Click Studios, BleepingComputer’ın gördüğü müşterilere gönderilen e -postalarda hemen yükseltemeyenler için bir geçici çözüm sağladı.
Şirket, “Click Studios bulguları analiz etti, test edildi ve acil durum erişim web sayfasında dikkatlice hazırlanmış bir URL girildiğinde güvenlik açığının var olduğunu doğrulayabilir.” Dedi.
“Bunun için tek kısmi çalışma, sistem ayarları altında web sunucusu için izin verilen IP adresini ayarlamaktır-> İzin verilen IP aralıkları. Bu kısa vadeli bir kısmi düzeltmedir ve tıklama stüdyoları, tüm müşterilerin PasswordState Build 9972’ye mümkün olan en kısa sürede yükseltilmesini şiddetle tavsiye eder.”
Dört yıl önce, Click Studios, müşterilere saldırganların Nisan 2021’de açıklanmayan sayıda kullanıcıya MoserPass olarak bilinen bilgi çalma kötü amaçlı yazılımları sunmak için şifre yöneticisinin güncelleme mekanizmasını başarıyla tehlikeye attığını bildirdi.
Günler sonra şirket, enfekte olmuş müşterilerin bazılarının “şifre statü şifresi kayıtları hasat etmiş olabileceğini” ve kullanıcıların geri kalanının da güncellenmiş Moserpass kötü amaçlı yazılımlarla kimlik avı saldırılarında hedeflendiğini doğruladı.
O sırada, Click Studios, Nisan 2021 tedarik zinciri saldırısı sırasında enfekte olan müşterilere veritabanlarında depolanan tüm şifreleri sıfırlamak için tavsiye etti.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.