Çok sayıda yüksek önem dereceli güvenlik açığı ifşa edildi şifre durumu kimliği doğrulanmamış bir uzak düşman tarafından bir kullanıcının düz metin parolalarını elde etmek için kullanılabilecek parola yönetimi çözümü.
İsviçreli siber güvenlik firması modzero AG, bu hafta yayınlanan bir raporda, “Başarılı bir istismar, kimliği doğrulanmamış bir saldırganın bir örnekten parolaları sızdırmasına, veritabanındaki tüm depolanan parolaların üzerine yazmasına veya uygulama içindeki ayrıcalıklarını yükseltmesine olanak tanır.”
“Bireysel güvenlik açıklarından bazıları, Passwordstate ana bilgisayar sisteminde bir kabuk elde etmek ve geçerli bir kullanıcı adından başka bir şeyle başlayarak tüm saklanan şifreleri düz metin olarak atmak için zincirlenebilir.”
Click Studios adlı Avustralyalı bir şirket tarafından geliştirilen Passwordstate, 29.000’den fazla müşteriye sahip ve 370.000’den fazla BT uzmanı tarafından kullanılıyor.
Kusurlardan biri, Chrome web tarayıcısı için Passwordstate 9.5.8.4 sürümünü de etkiler. Tarayıcı eklentisinin en son sürümü, 7 Eylül 2022’de yayınlanan 9.6.1.2’dir.
modzero AG tarafından tanımlanan güvenlik açıklarının listesi aşağıdadır –
- CVE-2022-3875 (CVSS puanı: 9.1) – Passwordstate’in API’si için bir kimlik doğrulama atlaması
- CVE-2022-3876 (CVSS puanı: 6.5) – Kullanıcı tarafından kontrol edilen anahtarlar aracılığıyla erişim kontrollerinin atlanması
- CVE-2022-3877 (CVSS puanı: 5.7) – Her parola girişinin URL alanında depolanan siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı
- CVE Yok (CVSS puanı: 6.0) – Sunucu tarafı simetrik şifreleme kullanarak parolaların güvenliğini sağlamak için yetersiz bir mekanizma
- CVE yok (CVSS puanı: 5.3) – API aracılığıyla parola istekleri ve kullanıcı hesabı değişiklikleri gibi denetlenen olayları listelemek için sabit kodlanmış kimlik bilgilerinin kullanımı
- CVE Yok (CVSS puanı: 4.3) – Parola Listeleri için yeterince korunmayan kimlik bilgilerinin kullanılması
Güvenlik açıklarından yararlanmak, geçerli bir kullanıcı adı bilgisi olan bir saldırganın kayıtlı parolaları düz metin olarak çıkarmasına, veritabanındaki parolaların üzerine yazmasına ve hatta uzaktan kod yürütme elde etmek için ayrıcalıkları yükseltmesine izin verebilir.
Dahası, Chrome tarayıcı uzantısında tanımlanan uygunsuz bir yetkilendirme akışı (CVSS puanı: 3.7), tüm şifreleri aktör tarafından kontrol edilen bir alana göndermek için silah haline getirilebilir.
modzero AG tarafından gösterilen bir saldırı zincirinde, bir tehdit aktörü bir yönetici hesabı için sahte bir API belirteci oluşturabilir ve ters bir kabuk elde etmek ve örnekte barındırılan parolaları ele geçirmek için kötü amaçlı bir parola girişi eklemek üzere XSS kusurundan yararlanabilir.
Kullanıcıların, potansiyel tehditleri azaltmak için 7 Kasım 2022’de yayınlanan Passwordstate 9.6 – Build 9653’e veya sonraki sürümlere güncelleme yapmaları önerilir.
Passwordstate, Nisan 2021’de, saldırganların müşterinin makinelerine bir arka kapı bırakmak için hizmetin güncelleme mekanizmasından yararlanmasına olanak tanıyan bir tedarik zinciri saldırısının kurbanı oldu.